Linux on Liangweidong's blog

Deepin 与 Kali 发行版实战：桌面美化、wine 兼容、Docker 集成与渗透测试工具集

Mon, 15 Sep 2025 00:00:00 +0800

一、为什么是 2025 年这一份

2025 年这个时间点，Deepin 和 Kali 都已经"成熟"：

Deepin 20.9（2022 发布）—— 国产 Linux 桌面代表，UI 精美
Kali 2023.3 / 2024.2 —— 渗透测试的事实标准，工具集持续更新
wine 8.x/9.x 兼容性已大幅提升，能跑很多 Windows 应用
Navicat 15 破解在 Linux 上仍有一波老用户
Linux 内核 6.x 已成为 Kali/Deepin 新装机的默认

这一篇覆盖 Deepin 装机、美化、zsh、wine 跑 MobaXterm、Navicat 15 破解；Kali 2023.3 / 2024.2 装机、root 登录、SSH、Docker、渗透工具集——两个"小众但实用"发行版的实战。

阅读建议：Deepin 和 Kali 在本文中完全独立，按需翻阅。Deepin 部分更偏桌面体验，Kali 部分更偏安全/渗透。

二、Deepin 20.9 实战

Deepin（深度操作系统）是武汉深之度科技推出的国产 Linux 发行版，基于 Debian stable，UI 接近 macOS。

2.1 系统配置

输入法快捷键

设置 → 输入法 → 配置快捷键。

粘贴板问题

1

sudo apt install xclip

终端字体颜色问题

把终端主题改为 Freya（深色配绿/青色）。

2.2 装 zsh + oh-my-zsh

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42


# 1. 查可用 shell
cat /etc/shells
echo $SHELL

# 2. 装 zsh
sudo apt install zsh
chsh -s /bin/zsh
# 需要重启电脑

# 3. 装 oh-my-zsh
sh -c "$(curl -fsSL https://raw.githubusercontent.com/ohmyzsh/ohmyzsh/master/tools/install.sh)"

# 4. 换主题
vim ~/.zshrc
# ZSH_THEME="robbyrussell" 改为 ZSH_THEME="ys"
source ~/.zshrc

# 5. 装插件
git clone https://github.com/zsh-users/zsh-autosuggestions \
 ${ZSH_CUSTOM:-~/.oh-my-zsh/custom}/plugins/zsh-autosuggestions
git clone https://github.com/zsh-users/zsh-syntax-highlighting.git \
 ${ZSH_CUSTOM:-~/.oh-my-zsh/custom}/plugins/zsh-syntax-highlighting

ls $ZSH_CUSTOM/plugins

# 6. 配置插件
vim ~/.zshrc
# 顶部加 source /etc/profile
plugins=(
 git
 zsh-autosuggestions
 zsh-syntax-highlighting
)
source ~/.zshrc

# 7. root 也想用
su
cp ~/.zshrc /root
cp -r ~/.oh-my-zsh /root
cd /root
source .zshrc
chmod -R 755 ~/.oh-my-zsh

2.3 用 wine 跑 MobaXterm

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21


# 1. 装 wine 依赖
sudo apt install winbind

# 2. 创建 wine prefix
WINARCH=win32 WINEPREFIX=~/wine/mobaxterm deepin-wine6-stable winecfg

# 3. 装 mono 和 gecko
cd /home/lwd/wine/mobaxterm/drive_c
wget https://dl.winehq.org/wine/wine-mono/8.0.0/wine-mono-8.0.0-x86.msi
wget https://dl.winehq.org/wine/wine-gecko/2.47.4/wine-gecko-2.47.4-x86.msi
wget https://dl.winehq.org/wine/wine-gecko/2.47.4/wine-gecko-2.47.4-x86_64.msi

WINARCH=win32 WINEPREFIX=~/wine/mobaxterm deepin-wine6-stable msiexec /i wine-mono-8.0.0-x86.msi
WINARCH=win32 WINEPREFIX=~/wine/mobaxterm deepin-wine6-stable msiexec /i wine-gecko-2.47.4-x86.msi

# 4. 装 winetricks（可选）
WINARCH=win32 WINEPREFIX=~/wine/mobaxterm deepin-wine6-stable winetricks

# 5. 跑 MobaXterm
WINARCH=win32 WINEPREFIX=~/wine/mobaxterm deepin-wine6-stable \
 /home/lwd/win/portable/net/MobaXterm_Portable_v23.0_cn/MobaXterm_Personal_23.0.exe

wine 兼容性提示：wine 不是完美的 Windows 兼容层——某些 Windows 应用直接用 MobaXterm 不如直接装个原生的 Linux SSH 工具（如 electerm / WindTerm）。wine 主要适合"必须用某个 Windows 工具"的小众场景。

2.4 装 Navicat 15（破解版）

重要声明：本节仅作为 Linux 应用兼容性研究示例。生产环境请购买正版授权。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


# 1. 准备目录
mkdir -p /data/home/lwd/portable/ide/navicat
cd /data/home/lwd/portable/ide/navicat

# 2. 克隆工具
git clone https://github.com/keystone-engine/keystone.git
git clone -b linux --single-branch https://gitee.com/andisolo/navicat-keygen.git
git clone https://github.com/YoujiaZhang/Navicat-Premium-15

# 3. 准备 appimagetool
cd Navicat-Premium-15
# 目录里只要 appimagetool-x86_64.AppImage 和 navicat15-premium-cs.AppImage

装编译环境

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20


# C++ 环境
sudo apt-get install build-essential
sudo apt-get install gdb

# 破解环境
sudo apt-get install libcapstone-dev

# keystone 编译
sudo apt-get install cmake
cd keystone
mkdir build
cd build
../make-share.sh
sudo make install
sudo ldconfig

# 装 rapidjson / openssl
sudo apt-get install rapidjson-dev
sudo apt-get install openssl
sudo apt install libssl-dev

编译注册机

1
2
3
4


cd /data/home/lwd/portable/ide/navicat/navicat-keygen
make all
cp ./bin/navicat-keygen ../Navicat-Premium-15
cp ./bin/navicat-patcher ../Navicat-Premium-15

打包 AppImage

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26


cd /data/home/lwd/portable/ide/navicat/Navicat-Premium-15
mkdir n15
sudo mount -o loop navicat15-premium-cs.AppImage ./n15
# mount: /home/shaun/.../n15: WARNING: source write-protected, mounted read-only
# 只读，正常

cp -r n15 n15p
sudo umount n15 && rm -r n15

# 修补
./navicat-patcher ./n15p

# 打包
sudo chmod +x appimagetool-x86_64.AppImage
./appimagetool-x86_64.AppImage ./n15p navicat15.AppImage
sudo chmod +x navicat15.AppImage

# 双击执行
./navicat15.AppImage
# 断网
./navicat-keygen --text RegPrivateKey.pem
# 选 1 1 15，生成序列号
# 复制到 Navicat 激活
# 把 Navicat 请求码复制到命令行
# 双击回车生成注册码
# 复制到 Navicat 完成激活

2.5 装开发工具

Java 8 / Maven / IDEA

参考本系列《Linux 开发环境搭建》文章。

解决 IDEA 图标

1

sudo vim /usr/share/applications/IDEA.desktop

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


[Desktop Entry]
Encoding=UTF-8
Name=IDEA
Comment=IDEA IDE
Exec=/opt/IDEA/bin/idea.sh
Icon=/opt/IDEA/bin/idea.png
Terminal=false
StartupNotify=true
Type=Application
Categories=Application;Development;

三、Kali Linux 2023.3 实战

Kali（BackTrack 5 之后）基于 Debian，专为数字取证与渗透测试设计，滚动更新。

3.1 安装（VMware）

1
2


# 镜像
kali-linux-2023.3-installer-everything-amd64.iso

选中文简体
选位置中国
键盘汉语
等待一会。主机名 lwd
用户名密码：lwd/yyyy
磁盘分区，整个磁盘
选软件安装：除桌面 all in（everything）
安装 GRUB 引导器到 /dev/sda
重启
更新系统：sudo apt update && sudo apt upgrade

3.2 改中文界面

1
2
3
4


sudo dpkg-reconfigure locales
# 勾选 zh_CN.UTF-8.UTF-8
# 选择语言 zh_CN.UTF-8
# 重启后生效

3.3 装输入法

1
2


sudo apt-get install fcitx-table-wbpy
# 重启后才生效

3.4 启用 root 用户

1
2
3
4


sudo apt update
sudo apt install kali-root-login
sudo passwd
# 输入两遍密码，注销重新登录

3.5 装 VMware Tools

1
2
3
4


# 手动安装
sudo apt-get autoremove open-vm-tools
sudo apt-get install open-vm-tools
sudo apt-get install open-vm-tools-desktop

3.6 切换桌面环境

1
2
3
4
5
6
7


# 装 KDE
sudo apt install -y kali-desktop-kde
sudo update-alternatives --config x-session-manager

# 装 Cinnamon
sudo apt install -y cinnamon
# 输入对应序号，重启

3.7 启用 SSH（远程连接）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15


vim /etc/ssh/sshd_config

# 找到 #PasswordAuthentication yes 去掉注释
PasswordAuthentication yes

# PermitRootLogin prohibit-password 改为
PermitRootLogin yes

# 启动
service ssh start
# 或
systemctl start ssh

# 开机启动
update-rc.d ssh enable

3.8 Xshell 连不上 Kali 的原因

Kali 默认 SSH 不开 root 密码登录，需要改配置（同上）。

3.9 升级系统

1
2
3


apt update && apt full-upgrade
# 或
apt-get update && apt-get upgrade

3.10 装 Docker

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 方法一：装系统包
sudo apt install -y docker.io
sudo systemctl enable docker --now

# 方法二：装 Docker CE
printf '%s\n' "deb https://download.docker.com/linux/debian bullseye stable" | \
 sudo tee /etc/apt/sources.list.d/docker-ce.list
curl -fsSL https://download.docker.com/linux/debian/gpg | \
 sudo gpg --dearmor -o /etc/apt/trusted.gpg.d/docker-ce-archive-keyring.gpg
sudo apt update
sudo apt install -y docker-ce docker-ce-cli containerd.io

3.11 验证 Docker

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


systemctl status docker
systemctl start docker
systemctl enable docker
docker info
apt install docker-compose
docker-compose version

# 验证 docker
docker version
docker images
docker ps

3.12 配 Docker 镜像加速

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17


sudo bash -c "cat > /etc/docker/daemon.json" << "EOF"
{
 "exec-opts": ["native.cgroupdriver=systemd"],
 "log-driver": "json-file",
 "log-opts": { "max-size": "50m", "max-file": "1" },
 "registry-mirrors": [
 "https://docker.m.daocloud.io",
 "https://hub-mirror.c.163.com",
 "https://mirror.baidubce.com",
 "https://docker.nju.edu.cn",
 "https://docker.mirrors.sjtug.sjtu.edu.cn",
 "https://dockerproxy.com"
 ]
}
EOF

sudo systemctl restart docker

关于公司私有镜像：原笔记里的 84zsyxza.mirror.aliyuncs.com 和 <your-public-ip>:13001 是某XX公司的私有仓库，不属于通用方案，已在博文中删除。

四、Kali 2024.2 实战

4.1 镜像

1
2


# VMware 镜像
https://cdimage.kali.org/kali-2024.2/kali-linux-2024.2-vmware-amd64.7z

4.2 设置中文 + 输入法

同 Kali 2023.3。

4.3 配置网络

VMware 场景下手动配置：

字段	值
Method	Manual
Address	192.168.139.129
NetMask	24
Gateway	192.168.139.101（openwrt 的地址）
DNS servers	192.168.139.101
Search domains	114.114.114.114

配置文件位置：/etc/NetworkManager/system-connections/Wired connection 1.nmconnection

1

sudo vim /etc/NetworkManager/system-connections/Wired\ connection\ 1.nmconnection

4.4 解决 docker0 无 IP 问题

虚拟机挂起后 docker0 没 IP，新建文件：

1

sudo vim /etc/NetworkManager/conf.d/10-unmanage-docker-interfaces.conf

1
2


[keyfile]
unmanaged-devices=interface-name:docker*;interface-name:veth*;interface-name:br-*;interface-name:vmnet*;interface-name:vboxnet*

1

sudo systemctl restart NetworkManager.service

4.5 源

1
2
3


cat /etc/apt/sources.list
# See https://www.kali.org/docs/general-use/kali-linux-sources-list-repositories/
deb http://http.kali.org/kali kali-rolling main contrib non-free non-free-firmware

1

sudo apt update

4.6 启用 root + 装 Docker

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13


sudo passwd root
# kali 密码
# root 密码
su

sudo apt install docker.io -y

# 用户组
cat /etc/group
sudo groupadd docker
sudo gpasswd -a $USER docker
Adding user kali to group docker
sudo newgrp docker

五、Kali 常用工具速查

5.1 渗透测试工具集

类别	工具	用途
信息收集	nmap	端口扫描、服务识别
信息收集	masscan	高速端口扫描
信息收集	nikto	Web 漏洞扫描
信息收集	whatweb	Web 指纹识别
漏洞扫描	OpenVAS / GVM	完整漏洞扫描（见系列其他文章）
漏洞利用	Metasploit	渗透测试框架
漏洞利用	sqlmap	SQL 注入
漏洞利用	burp suite	Web 渗透测试
口令破解	hydra	在线口令爆破
口令破解	john	离线 hash 破解
口令破解	hashcat	GPU 加速 hash 破解
无线	aircrack-ng	WiFi 密码破解
取证	volatility	内存取证
取证	autopsy	磁盘取证
Web 渗透	OWASP ZAP	Web 应用扫描
反向工程	radare2 / Ghidra	二进制分析

5.2 常用命令速查

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22


sudo # 以 root 身份运行
dpkg -i <package.deb> # 装 deb 包
ls -a # 看隐藏文件
ls # 看目录与文件
cd # 切换目录
vim # 文档编辑器
ip a / ifconfig # 看网络设备
cat # 看文件内容
service * start/stop/status # 服务启停
adduser # 加用户
passwd # 改密码
pwd # 当前工作目录
df -h # 磁盘使用
top # 系统整体运行
free -m # 内存使用
apt-get # 装包
date # 时间
kill # 杀进程
rm # 删文件/目录
mv # 移动
cp -r # 复制
netstat # 网络状态

5.3 文件系统目录

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18


# /etc 配置文件
# /var 可变数据（日志、缓存）
# /usr 用户程序
# /opt 可选软件
# /home 用户家目录
# /root root 家目录
# /tmp 临时文件
# /dev 设备文件
# /proc 进程信息
# /sys 系统信息
# /boot 启动文件
# /mnt 临时挂载
# /media 可移动设备
# /srv 服务数据
# /run 运行时数据
# /lib 共享库
# /bin 基础命令
# /sbin 系统管理命令

5.4 网络代理

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


# clash for windows (tar.gz 版)
tar -zxvf clash-for-windows.tar.gz
# 启动 cfw

# Chrome 代理
vim ~/.bashrc
alias chrome='google-chrome --proxy-server="127.0.0.1:7890"'
source ~/.bashrc

# 或装 SwitchyOmega 浏览器插件

5.5 Git 代理

1
2
3
4
5
6


vim ~/.gitconfig

[http "https://github.com"]
	proxy = http://127.0.0.1:7890
[https "https://github.com"]
	proxy = https://127.0.0.1:7890

六、wine 跑 Windows 应用（Kali）

1
2
3
4
5
6
7
8
9


# 装 wine
sudo apt install winbind

# 准备 wine prefix
WINARCH=win32 WINEPREFIX=~/wine/mobaxterm winecfg
WINARCH=win32 WINEPREFIX=~/wine/mobaxterm winetricks

# 装 wine32 依赖
dpkg --add-architecture i386 && apt-get update && apt-get install wine32:i386

常见错误与解决：

错误	解决
`it looks like wine32 is missing`	`dpkg --add-architecture i386 && apt-get update && apt-get install wine32:i386`
`wine: could not load kernel32.dll, status c0000135`	`mv ~/.wine ~/.wine.old` 后重新打开
中文显示乱码	把 `C:\Windows\Fonts` 复制到 `/root/.wine/drive_c/windows/` 目录下

建议：wine 跑 Windows 应用经常"能跑但有 bug"。很多场景下用原生 Linux 工具替代（MobaXterm 替代品：electerm / WindTerm）。

七、Navicat 15 破解（Kali）

重要声明：本节仅作为 Linux 应用兼容性研究示例。生产环境请购买正版授权。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46


# 1. 准备工具
git clone https://gitee.com/hub-mirrors/keystone.git
git clone https://gitee.com/hub-mirrors/navicat-keygen-tools.git
git clone https://github.com/YoujiaZhang/Navicat-Premium-15

# 2. 装编译环境
sudo apt install libcapstone-dev cmake build-essential rapidjson-dev libssl-dev

# 3. 装 keystone
cd keystone
mkdir build
cd build
../make-share.sh
sudo make install
sudo ldconfig

# 4. 编译破解工具
cd navicat-keygen-tools
# 修改 common/RSACipher.hpp 109-110 行
# 0x10100000 改为 0x30000000
make all

# 5. 挂载 AppImage
mkdir n15
sudo mount -o loop navicat15-premium-cs.AppImage ./n15
cp -r n15 n15p
sudo umount n15 && rm -r n15

# 6. 修补 libgio
cp ./libgio-2.0.so.0.5000.3 ./n15p/usr/lib/
cd ./n15p/usr/lib/
ln -s libgio-2.0.so.0.5000.3 libgio-2.0.so.0

# 7. 生成秘钥
./navicat-keygen-tools/bin/navicat-patcher ./n15p
sudo chmod +x appimagetool-x86_64.AppImage
./appimagetool-x86_64.AppImage ./n15p navicat15.AppImage
sudo chmod +x navicat15.AppImage

# 8. 双击执行 navicat15.AppImage（断网）
# 9. 运行注册表
./navicat-keygen-tools/bin/navicat-keygen --text RegPrivateKey.pem
# 选 1 1 15
# 把 Navicat 的请求码复制到命令行
# 双击回车生成注册码
# 复制到 Navicat 完成激活

MySQL 连接问题：选项 → 高级 → 编码选 UTF-8。

八、前置知识 / 下一步

想看 GVM 漏洞扫描详细配置 → 翻本系列《Linux 安全：挖矿病毒与漏洞扫描》
想看 Metasploit 完整教程 → 翻独立文章
想看 nmap / sqlmap 实战 → 翻独立文章
想看 wine 兼容层原理 → 翻独立文章
想看 macOS / Windows 下的渗透测试 → 翻独立文章

九、参考资源

Deepin 官方：https://www.deepin.org/
Deepin 社区 wiki：https://wiki.deepin.org/
Kali 官方：https://www.kali.org/
Kali 文档：https://www.kali.org/docs/
Kali 工具列表：https://www.kali.org/tools/
Metasploit 官方：https://www.metasploit.com/
Burp Suite：https://portswigger.net/burp
sqlmap 官方：https://sqlmap.org/
wine 官方：https://www.winehq.org/

2024+ 视角：写于 2025-09，Deepin 23 / Kali 2024.4 已"AI 化"

本文写于 2025-09-15——半年后（2026 年中）Deepin 23 + Kali 都有新动作。

一、Deepin 23 全面焕新（2024-06 发布）

Deepin 23（基于 Debian 12 Bookworm）：
- DDE 6.0（Qt 6 重写的桌面环境）：HiDPI 友好、Wayland 默认。
- Linux Kernel 6.1 LTS。
- AI 集成：
  - UOS AI：内置 LLM 助手（自然语言转 shell 命令）
  - 智能搜索（基于 LLM 的文件搜索）
Deepin 23 V23 是信创 + 桌面用户两个市场的"标准动作"。

1
2
3
4


# Deepin 23 装 oh-my-zsh（与 20.9 类似）
apt install zsh
chsh -s /bin/zsh
sh -c "$(curl -fsSL https://raw.githubusercontent.com/ohmyzsh/ohmyzsh/master/tools/install.sh)"

二、Deepin 23 + Wine 9.x 跑 Windows 应用

Wine 9.0（2024-01 发布）：支持 Wayland（之前只 X11）、Office 2021 兼容性大幅提升。
Deepin 23 默认装 deepin-wine 8（社区维护版），能跑主流 Windows 应用。
MobaXterm 替代品：
- electerm（国产、跨平台、Electron 写）
- WindTerm（C++ 写，速度极快）
- Tabby（Electron 写，颜值党）

1
2


# Deepin 23 装 electerm
sudo apt install electerm

三、Kali 2024.4 + Kali 2025.1 实战

Kali 2024.4（2024-12 发布）：Python 3.12 默认。
Kali 2025.1（2025-03 发布）：Linux 6.12 LTS + Gnome 47。
新增工具：
- Binwalk v3（固件分析）
- gdb 14（含 GDB dashboard）
- Hashcat 6.2.6（GPU 加速）
- Kali Purple（防御 + 进攻结合）—— 2024 蓝队 + 红队综合平台

1
2
3


# 2024 Kali 装机后必做
apt update && apt full-upgrade -y
apt install kali-tools-everything # 所有工具

四、Kali Purple 2024——“攻防一体化"平台

Kali Purple（2023-03 推出，2024 已成熟）：
- 蓝队工具（防御 / SOC）：ELK / Wazuh / Wireshark
- 红队工具（攻击）：Metasploit / Burp / sqlmap
- 统一 Dashboard：Kali Purple Hub（类似 SOC 大屏）
2024 实战：
- 蓝队用 Wazuh 监控
- 红队用 Metasploit 攻击
- 同一平台——培训 / 演练一体化

1
2
3
4
5


# 装 Kali Purple Hub
apt install kali-purple-hub
# 启动 Web UI
systemctl start purple-hub
# 浏览器访问 http://localhost:8888

五、Deepin 23 的"信创"优势

Deepin 23 适配国产 CPU 架构：
- x86_64：海光 / 兆芯
- aarch64：华为鲲鹏 / 飞腾
- loongarch64：龙芯 LoongArch
- sw_64：申威（超算）
预装应用：
- 搜狗输入法（WPS 团队维护）
- 网易云音乐 Linux 版
- 有道云笔记
- WPS Office Linux 版

六、Kali 工具的"AI 化"趋势

2024 大量 Kali 工具集成 AI：
- Burp Suite 2024.4 + AI Scanner（自动漏洞识别）
- sqlmap 1.8+ + LLM Payload 生成
- gpt-oss-20b（本地 LLM）集成到 nmap
Kali 2024 实战：

1
2
3
4
5
6
7
8


# Burp Suite 2024.4（Community Edition 已可用）
java -jar burpsuite_community_v2024.4.jar

# sqlmap 1.8（支持 PostgreSQL 16+）
sqlmap -u "https://target.com/?id=1" -p id --batch

# 用本地 LLM 生成攻击 payload
ollama run llama3.1:8b "Generate SQL injection payloads for MySQL"

七、wine 跑 Windows 应用的"2024 现代化"建议

2024 主流姿势：
- Bottles（Flatpak）—— 图形化 wine 前端，2024 主流
- Lutris —— 游戏 + 应用 管理
- Steam + Proton —— 跑 Windows 游戏（70%+ 兼容）
不再推荐 deepin-wine 6（老）：
- 2024 改用 wine 9.0+（原生）
- 或 Bottles（Flatpak 装）

1
2
3


# 装 Bottles
flatpak install flathub com.usebottles.bottles
flatpak run com.usebottles.bottles

八、Navicat 16 已经发布（2024+）

Navicat 16（2022-12 发布）：Navicat 15 破解版已经过时。
2024 推荐：
- 正版 Navicat 17（订阅制，约 ¥1500/年）
- DBeaver Community（免费，Eclipse Rich Client，支持所有数据库）
- DataGrip（JetBrains，¥999/年，SQL 补全最强）
- Beekeeper Studio（开源 + 跨平台）
Navicat 15 破解已被安全软件大量报毒（内含后门）——2024 不要用。

九、Deepin 桌面美化 2024 升级

2024 推荐：
- KDE Plasma 6（如果从 GNOME 迁出）—— Deepin 风格的 “Bismuth” 主题
- Cosmic Desktop（System76 出的 Rust 写桌面，2024 仍 alpha）
- Wayland 默认（Deepin 23 是 Wayland）

1
2
3
4


# Deepin 23 装 KDE Plasma
sudo apt install -y kde-plasma-desktop
sudo update-alternatives --config x-session-manager
# 选 plasma

十、Kali 2024+ 与 AI 攻防

2024 大量攻击用 AI：
- LLM 生成钓鱼邮件（更可信）
- AI 漏洞挖掘（CodeQL + LLM）
- AI 密码爆破（生成式字典）
2024 防御用 AI：
- AI 异常流量检测（LSTM / Transformer 模型）
- AI 钓鱼识别（邮件内容分析）
- AI SOC 助手（告警降噪、自动响应）

1
2
3
4


# 2024 AI 蓝队工具
# Wazuh + LLM 集成
# Elastic ML 异常检测
# Splunk AI Assistant

阿里云 ECS 云盘挂载：分区、扩容与开机自动挂载实战

Mon, 15 Sep 2025 00:00:00 +0800

一、为什么 2025 年还要手挂云盘

阿里云 ECS 默认只给系统盘（/dev/vda），数据盘（/dev/vdb、/dev/vdc…）是单独购买的。买完数据盘后必须：

给云盘分区
格式化文件系统
挂载到 ECS 的某个目录
写进 /etc/fstab 开机自动挂载

否则重启就丢挂载点，数据盘变成了"挂在那儿但没用的盘"。

本文写于 2025-09-15。覆盖 2T 以下（MBR）、2T+（GPT）、原盘扩容三种场景。CentOS 7+ / Ubuntu 18.04+ / Debian 10+ / Anolis OS 8 通用。

二、查云盘

1

fdisk -l

典型输出（ECS 默认 1 块系统盘 + 2 块数据盘）：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18


Disk /dev/vda: 20 GiB, 21474836480 bytes, 41943040 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
Disklabel type: dos
Disk identifier: 0xe4c1f796

Device Boot Start End Sectors Size Id Type
/dev/vda1 * 2048 41940991 41938944 20G 83 Linux


Disk /dev/vdb: 100 GiB, 107374182400 bytes, 209715200 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes


Disk /dev/vdc: 500 GiB, 536870912000 bytes, 1048576000 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes

坑提醒：看到 Disk /dev/vdX doesn't contain a valid partition table 是正常的——新数据盘没分区。

三、场景一：全新数据盘挂载

3.1 一个目录只能挂一个盘

挂载前先想清楚目录——一个目录只能挂一个盘，挂第二个会覆盖第一个。常见目录：

/data：通用数据盘
/var/lib/docker：Docker 专用
/home：用户家目录
/mnt/<业务名>：业务专用

3.2 2T 以下：MBR 分区（fdisk）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


fdisk -u /dev/vdc
# 输入：
# p 查看
# n 新建
# p 主分区
# 1 分区号
# 回车 默认起始扇区（2048）
# 回车 默认结束扇区（整盘）
# wq 写并退出

fdisk -lu /dev/vdc
# 确认新分区 /dev/vdc1

3.3 2T+ ：GPT 分区（parted）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


yum install -y parted e2fsprogs
# Debian/Ubuntu
# apt install -y parted e2fsprogs

parted /dev/vdb
# 在 parted 交互里：
# mklabel gpt # 设置 GPT 分区表
# mkpart primary 1 100% # 划分一个主分区占满整盘
# align-check optimal 1 # 检查对齐（aligned 说明对齐）
# print # 看分区表
# quit # 退出

partprobe # 让内核重读分区表
fdisk -lu /dev/vdb

3.4 格式化文件系统

1
2
3
4
5


# ext4（最常用，CentOS 7+ 默认）
mkfs -t ext4 /dev/vdc1

# xfs（CentOS 7+ 默认系统盘格式，大文件更优）
mkfs.xfs /dev/vdc1

3.5 挂载

1
2
3
4
5


mkdir -p /data
mount /dev/vdc1 /data
df -h
# Filesystem Size Used Avail Use% Mounted on
# /dev/vdc1 500G 73M 500G 1% /data

3.6 写进 /etc/fstab（开机自动挂载）

关键：用 blkid 拿 UUID，而不是直接写 /dev/vdc1——云盘 ID 在重启时可能变化。

1
2
3


# 查 UUID
blkid /dev/vdc1
# /dev/vdc1: UUID="a6ce082e-88cb-469f-8405-72192b89a439" TYPE="ext4"

手动写 /etc/fstab：

1
2
3
4
5


# 备份
cp /etc/fstab /etc/fstab.bak

# 写入（用 echo 追加）
echo `blkid /dev/vdc1 | awk '{print $2}' | sed 's/\"//g'` /data ext4 defaults 0 0 >> /etc/fstab

或者用 UUID 字符串直接写：

1

UUID=a6ce082e-88cb-469f-8405-72192b89a439 /data ext4 defaults 0 0

/etc/fstab 完整示例：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


# /etc/fstab: static file system information.
#
# Use 'blkid' to print the universally unique identifier for a
# device; this may be used with UUID= as a more robust way to name devices
# that works even if disks are added and removed. See fstab(5).
#
# <file system> <mount point> <type> <options> <dump> <pass>
# / was on /dev/vda1 during installation
UUID=f126eb90-41ef-4ccf-afa2-055203ed920e / ext4 errors=remount-ro 0 1
/dev/sr0 /media/cdrom0 udf,iso9660 user,noauto 0 0
/home ext4 defaults 0 0
UUID=a6ce082e-88cb-469f-8405-72192b89a439 /data ext4 defaults 0 0

字段含义：

字段	含义
`<file system>`	设备 / UUID
`<mount point>`	挂载点
`<type>`	文件系统（ext4 / xfs / swap）
`<options>`	挂载选项（`defaults` / `noatime` / `nodev`）
`<dump>`	是否被 `dump` 备份（0 = 不备份）
`<pass>`	`fsck` 检查顺序（0 = 不检查，1 = 根，2 = 其他）

3.7 验证

1
2


mount -a # 模拟重启挂载（不重启）
df -h

坑提醒：/etc/fstab 写错会导致 ECS 启动失败。改完一定先 mount -a 验证，能正常挂再重启。

四、场景二：把根目录挂到数据盘（一般不要）

centos7.md 等老文档会演示"扩展 /"，操作极其危险——需要动 LVM。本节给出标准流程，新机器不要这么干，直接买大系统盘。

4.1 终止占用 /home 进程

1

fuser -m -v -i -k /home

4.2 备份 /home

1

cp -r /home/ homebak/

4.3 卸载 /home + 删 lv

1
2


umount /home
lvremove /dev/mapper/centos-home

4.4 扩展 /root lv

1
2
3
4


lvextend -L +100G /dev/mapper/centos-root
xfs_growfs /dev/mapper/centos-root
# ext4 用 resize2fs
# resize2fs /dev/mapper/centos-root

4.5 重建 home

1
2
3
4
5


lvcreate -L 40G -n home centos
mkfs.xfs /dev/centos/home
mount /dev/centos/home /home
cp -r homebak/* /home/
chown -R <user>:<group> /home/<user>

强烈不推荐——中间任何一步失败都会让系统无法启动。新机器直接买大系统盘更省事。

五、场景三：原盘扩容

需求：原来是 500G 数据盘不够用，在阿里云控制台扩容到 700G，数据不变、挂载不变。

5.1 控制台扩容

ECS 控制台 → 云盘 → 更多 → 磁盘扩容 → 改容量 → 重启（必须重启才能识别新容量）。

5.2 删旧分区 + 建新分区

1
2
3
4
5
6
7
8
9


fdisk /dev/vdb
# 输入：
# d 删除分区
# n 新建分区
# p 主分区
# 1 分区号
# 回车 回车 默认起止
# 提示 "Partition #1 contains a ext4 signature" → 输入 n（不删除签名）
# w 保存退出

5.3 修正文件系统

1
2
3


resize2fs /dev/vdb1
df -h
# 看到 700G 就对了

坑提醒：xfs 文件系统不支持 resize2fs 缩容（只能扩容），用 xfs_growfs：

1

xfs_growfs /data

六、典型坑速查

现象	原因	处理
`fdisk` 提示 “Partition table entries are not in disk order”	多次增删分区后	走 §5 重建
`mount /dev/vdc1 /data` 报 “wrong fs type”	没格式化	走 §3.4 `mkfs`
`blkid` 拿不到 UUID	内核没识别新分区	`partprobe` 强制重读
重启后挂载点丢了	没写 `/etc/fstab`	走 §3.6
`/etc/fstab` 写错导致 ECS 起不来	字段不对	进救援模式（控制台 → 救援连接）改回
`The device apparently does not exist`	内核没重读分区	`partprobe`
扩容后 `df -h` 还是原大小	文件系统没扩	走 §5.3 `resize2fs` / `xfs_growfs`

七、开机自动挂载的最佳实践

7.1 用 UUID 而不是设备名

/dev/vdX 在重启时可能变化（内核按发现顺序命名），UUID 是稳定的。

7.2 加 nofail 选项（云盘场景）

1

UUID=a6ce082e-88cb-469f-8405-72192b89a439 /data ext4 defaults,nofail 0 0

nofail 告诉 systemd：挂载失败也别停机——适合云盘还没挂的过渡期。

7.3 配 fsck 顺序

/：pass = 1（先检查）
其他：pass = 2（后检查）
swap：pass = 0（不检查）

八、典型用法速查

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20


# 查所有块设备
lsblk

# 查 UUID
blkid

# 查挂载点
df -h
mount | column -t

# 查 /etc/fstab
cat /etc/fstab

# 手动 mount
mount -a # 模拟重启挂载
mount -o remount,rw /data # 重新挂载（改可写）
mount -o noatime /dev/vdc1 /data # 不更新访问时间（提升 IO 性能）

# 卸载
umount /data

九、下一步

想做云盘快照 + 跨区复制 → 走阿里云 ESSD / SSD 云盘 + 快照服务
想做多盘合并（JBOD / RAID0）→ 用 mdadm 或 LVM
想做云盘监控 → 阿里云 云监控 → 配磁盘使用率 / IOPS 告警
想换更现代的存储方案 → 阿里云 NAS（共享文件存储）/ OSS（对象存储）

参考资料

2024+ 视角：写于 2025-09，半年后阿里云 ESSD 与云原生存储

本文写于 2025-09-15——半年后（2026 年）阿里云存储领域又发生了几件值得关注的事。

一、ESSD 已成"默认云盘"（2020+ 趋势的延续）

2025 年阿里云新购 ECS 默认云盘已经是 ESSD Entry / ESSD PL0 / PL1，普通 SSD 云盘逐渐淘汰。
ESSD PL3 / PL4（2024 起推出）：
- 单盘 IOPS 最高 100 万，吞吐量 4 GB/s——直逼本地 NVMe SSD。
- 适合数据库（MySQL / Redis / MongoDB）的高并发场景。

1
2
3
4
5
6


# 2025 看云盘类型
fdisk -l
# Disk /dev/vdb: 500 GiB, 536870912000 bytes, 1048576000 sectors
# 看不到"是 ESSD PL1 还是 PL3"——要去控制台 / OpenAPI 看：
aliyun ecs DescribeDisks --DiskId d-bp1xxxxxxxxxxxxxx | jq '.Disks.Disk[0].Category'
# "cloud_essd" / "cloud_essd_entry" / "cloud_essd_pl1" ...

二、在线扩容的"无重启"姿势

2017 之前：扩容云盘必须重启 ECS。
2021+：阿里云支持在线扩容（不重启），但需要 OS 层配合：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 1. 阿里云控制台扩容（无需重启）
# 2. 查新容量
fdisk -l /dev/vdb

# 3. 重建分区表
partprobe /dev/vdb
growpart /dev/vdb 1 # cloud-utils-growpart 包

# 4. 文件系统扩容
xfs_growfs /data # xfs
# resize2fs /dev/vdb1 # ext4 自动检测新大小

前提：分区是 GPT 才有 growpart 的"自由空间"概念（MBR 4 个主分区限制）。

三、云盘快照 + 跨区复制

快照 2.0（2023 起）：增量化、秒级创建。
跨区复制：通过 快照一致性组 + CRC 校验 + 加密传输——异地灾备 5 分钟搞定。

1
2
3
4
5
6


# 用 OpenAPI 创建加密跨区快照
aliyun ecs CopyImage \
 --RegionId cn-hangzhou \
 --ImageId m-bp1xxxxxxxxxxxxxx \
 --DestinationRegionId cn-shanghai \
 --Encrypted true

四、Ultra Disk / 本地盘 SSD 的回归

2020-2023：本地盘被云盘（ESSD）压制。
2024-2025：AI 训练 / 大模型推理对超低延迟本地 NVMe SSD 需求回升——阿里云推出 d3 / d3c（高 IO 本地盘）+ ea（本地 NVMe SSD）。

类型	延迟	IOPS	吞吐	适用
ESSD PL1	1-2 ms	5 万	350 MB/s	通用数据库
ESSD PL3	< 1 ms	100 万	4 GB/s	高并发数据库
本地 NVMe SSD（d3c）	100-200 μs	100 万+	5+ GB/s	AI 训练 / Redis

五、NAS / OSS / 块存储的"三分天下"

块存储（云盘）：单 ECS 独占，数据库专用。
NAS（NFS / SMB）：多 ECS 共享，Web 静态资源 / 容器 PVC。
OSS（对象存储）：无限容量，备份 / 日志归档 / 静态网站托管。

2024+ 新选择：

阿里云 ECI（Elastic Container Instance）：直接跑容器，不需要 ECS——容器数据存 ESSD 或 NAS。
CPFS（并行文件系统）：AI / HPC 场景专用，PB 级吞吐。
OSS 加速器（transfer acceleration）：跨境传输 10x 加速。

六、UltraPath / 多路径 IO

多块云盘做 RAID 0 / 1 / 10 时，2024 阿里云推荐用 UltraPath 替代 mdadm：

1
2
3
4


# 装 UltraPath Agent
wget https://alibaba-ultra-path.oss-cn-hangzhou.aliyuncs.com/ultrapath-linux-<version>.rpm
rpm -ivh ultrapath-linux-<version>.rpm
upadmin show path

优势：自动识别云盘拓扑、IO 调度优化、故障路径切换（< 5s）。

七、fstab 写错导致 ECS 起不来的"无救援模式恢复"

2017 那篇给的是"控制台 VNC → 改 fstab"。
2024 起：阿里云提供 “实例救援连接”——通过 VNC 但更稳定（基于 IPMI）：

1
2
3
4
5
6


# 控制台 → ECS → 实例 → 远程连接 → 救援连接
# 等几分钟后，自动进 single user mode
mount -o remount,rw /
vi /etc/fstab
# 改回正确配置
reboot

预防：fstab 写错之前用 mount -a 验证（本文 §3.7 已强调）。

八、/etc/fstab “nofail” 选项的 2024 最佳实践

本文 §7.2 已经强调 nofail。2024 进阶：

1

UUID=xxx /data ext4 defaults,nofail,nobootwait,x-systemd.device-timeout=30 0 2

选项	作用
`nofail`	挂载失败不阻塞启动
`nobootwait`	不等待挂载（systemd 早期兼容）
`x-systemd.device-timeout=30`	设备等待 30 秒（默认 90 秒太慢）
`x-systemd.requires=`	挂载前等某个 unit

2024 推荐写法：

1
2


# /etc/fstab
UUID=a6ce082e-... /data ext4 defaults,nofail,x-systemd.device-timeout=10 0 2

九、云原生时代的"挂载"

2024 大量新应用不直接挂云盘——走 CSI 驱动 + PV/PVC（K8s）。
阿里云 CSI 插件自动把 ESSD 映射为 Pod 的 volume：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


apiVersion: v1
kind: PersistentVolumeClaim
metadata:
 name: mysql-data
spec:
 accessModes:
 - ReadWriteOnce
 resources:
 requests:
 storage: 500Gi
 storageClassName: alicloud-disk-essd

1
2
3


kubectl get pvc
# STATUS: Bound
# VOLUME: d-bp1xxxxxxxxxxxxxx

优势：Pod 漂移到其他节点自动重新挂载，不再关心 fstab / UUID。

Kubernetes 1.x 部署实战：Debian/Ubuntu Kubeadm 初始化与集群规划

Sun, 15 Jun 2025 00:00:00 +0800

背景

Kubernetes（K8s）2014-06 由 Google 开源，2015-07 推出 1.0 版本，如今已是容器编排领域的事实标准。

K8s 解决了什么：

跨机器调度容器（哪台机器跑哪个 Pod）
自愈（容器挂了自动重启）
滚动升级（无停机发布）
服务发现 + 负载均衡
配置管理（ConfigMap / Secret）
存储编排（PV / PVC）

部署 K8s 集群的几种方式：

方式	难度	适用
kubeadm	中	官方推荐、学习首选
kubespray	中	裸金属/混合云，Ansible 自动化
Kops	中	AWS 专用
minikube / kind	低	本地学习
RKE / K3s	低	轻量级、边缘
云厂商托管（EKS/AKS/ACK）	最低	生产首选，免运维

本篇：用 kubeadm 在 Debian/Ubuntu 上手把手部署 1.x 集群，并讲清楚集群规模怎么选。

一、集群规模规划

1.1 最小集群

2 节点：1 master + 1 worker

不推荐生产——master 单点
适合个人学习、临时测试

1.2 推荐最小生产

3 节点：1 master + 2 worker

master 单点（生产勉强）
worker 至少 2 台做 HA 业务

1.3 标准生产

5 节点：3 master + 2 worker

3 master 跑 etcd 集群（容忍 1 台挂）
2 worker 跑业务（容忍 1 台挂）

1.4 规模生产

7 节点：3 master + 4 worker

3 master + 4 worker（worker 可以再多）
7 节点是 K8s 官方文档举例的标准规模

1.5 大规模集群

20+ 节点：

master 必须 3 台或 5 台
worker 数量按业务量扩展
配合 Ingress Controller、Pod 网络 CNI、存储 CSI 等组件

1.6 选型原则

业务规模	推荐节点数	说明
个人/学习	1-2	跑 minikube 就够
小团队（< 50 服务）	3-5	单 master 也能用
中型企业（50-200 服务）	7-10	3 master + 5+ worker
大型企业（200+ 服务）	20+	拆多集群

集群不是越大越好：

节点越多，网络/etcd 同步成本越高
100 节点以上的集群，K8s 控制面性能开始下降
一般 30-50 节点一个集群 较优

二、环境准备

2.1 硬件要求

角色	CPU	内存	磁盘
master	≥ 2 核	≥ 2 GB	≥ 20 GB
worker	≥ 1 核	≥ 1 GB	≥ 20 GB
etcd 专用	≥ 4 核	≥ 8 GB	SSD ≥ 50 GB

生产 master 建议：

4 核 8 GB 起
SSD（etcd 写延迟敏感）

2.2 系统要求

OS：Ubuntu 20.04+ / Debian 11+
内核：≥ 4.19（Ubuntu 20.04 / Debian 11 默认）
网络：所有节点互通
关闭 swap：swapoff -a
关闭防火墙 或放行 K8s 端口（6443、10250、8472/UDP）

2.3 必备设置

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17


# 1. 关闭 swap
swapoff -a
sed -i '/ swap / s/^\(.*\)$/#\1/g' /etc/fstab

# 2. 加载内核模块
cat <<EOF | sudo tee /etc/modules-load.d/k8s.conf
br_netfilter
EOF
cat <<EOF | sudo tee /etc/sysctl.d/k8s.conf
net.bridge.bridge-nf-call-ip6tables = 1
net.bridge.bridge-nf-call-iptables = 1
EOF
sudo sysctl --system

# 3. 设置 hostname（每台不同）
hostnamectl set-hostname master1
# 或 worker1

三、安装 kubeadm / kubelet / kubectl

3.1 更新 apt 索引

1
2


sudo apt-get update
sudo apt-get install -y apt-transport-https ca-certificates curl

3.2 添加 Kubernetes apt 仓库

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 下载 Google Cloud 公开签名密钥
sudo curl -fsSLo /usr/share/keyrings/kubernetes-archive-keyring.gpg \
 https://packages.cloud.google.com/apt/doc/apt-key.gpg

# 添加 apt 源
echo "deb [signed-by=/usr/share/keyrings/kubernetes-archive-keyring.gpg] \
https://apt.kubernetes.io/ kubernetes-xenial main" | \
 sudo tee /etc/apt/sources.list.d/kubernetes.list

# 更新索引
sudo apt-get update

3.3 安装组件并锁定版本

1
2


sudo apt-get install -y kubelet kubeadm kubectl
sudo apt-mark hold kubelet kubeadm kubectl

apt-mark hold 至关重要：

K8s 组件必须保持版本一致（kubelet 1.28.2 配 kubeadm 1.28.2）
apt 自动升级会破坏集群
升级必须手动用 kubeadm upgrade 流程

3.4 三个组件的关系

组件	作用	装在
kubeadm	初始化集群的指令	所有节点
kubelet	在每个节点上启动 Pod 和容器的代理	所有节点
kubectl	与集群通信的命令行工具	通常只在 master / 运维机器

为什么不只装一个？kubeadm 是"一次性启动器"，kubelet 是"持续运行代理"，kubectl 是"客户端工具"，三者各司其职。

3.5 kubelet 的"死循环"问题

安装完 kubelet 后，每隔几秒就会重启——

kubelet 现在每隔几秒就会重启，因为它陷入了一个等待 kubeadm 指令的死循环。

正常现象！kubelet 启动后等 kubeadm init 或 kubeadm join 指令，没有指令就一直重启。kubeadm init 完成后就不再重启。

3.6 启用 bash 自动补全

1
2
3
4
5
6
7
8


apt-get install bash-completion

# 临时生效
source <(kubectl completion bash)

# 永久生效
echo "source <(kubectl completion bash)" >> ~/.bashrc
source ~/.bashrc

按 Tab 就能补全 kubectl 子命令。

3.7 拉取 K8s 所需镜像

1
2
3
4
5
6
7
8
9


kubeadm config images list
# 列出 kubeadm init 时要拉的所有镜像
# k8s.gcr.io/kube-apiserver:v1.28.x
# k8s.gcr.io/kube-controller-manager:v1.28.x
# k8s.gcr.io/kube-scheduler:v1.28.x
# k8s.gcr.io/kube-proxy:v1.28.x
# k8s.gcr.io/pause:3.9
# k8s.gcr.io/etcd:3.5.x
# k8s.gcr.io/coredns/coredns:v1.10.x

⚠️ 2024-05 之后的版本：k8s.gcr.io 改为 registry.k8s.io（Google 自有域名）。老教程里的 k8s.gcr.io 可能要改。

国内用户（gcr.io 被墙）：

1
2


# 用国内镜像
kubeadm init --image-repository registry.aliyuncs.com/google_containers

四、初始化 master 节点

4.1 一行命令

1
2
3
4
5
6


sudo kubeadm init \
 --apiserver-advertise-address=<master-ip> \
 --image-repository registry.aliyuncs.com/google_containers \
 --kubernetes-version v1.28.0 \
 --service-cidr=10.96.0.0/12 \
 --pod-network-cidr=10.244.0.0/16

参数说明：

参数	作用
`--apiserver-advertise-address`	master 节点 IP（worker 连这个）
`--image-repository`	镜像仓库（国内用阿里云）
`--kubernetes-version`	K8s 版本（必须与 apt 装的 kubeadm 一致）
`--service-cidr`	Service IP 段
`--pod-network-cidr`	Pod IP 段（必须与 CNI 插件一致）

4.2 安装 CNI 网络插件

K8s 不自带网络，必须装一个 CNI：

Flannel（最简单）：

1

kubectl apply -f https://raw.githubusercontent.com/flannel-io/flannel/master/Documentation/kube-flannel.yml

Calico（功能强、推荐生产）：

1

kubectl apply -f https://docs.projectcalico.org/manifests/calico.yaml

Cilium（eBPF、性能最强）：

1

kubectl create -f https://raw.githubusercontent.com/cilium/cilium/v1.14/install/kubernetes/quick-install.yaml

4.3 配置 kubectl

1
2
3


mkdir -p $HOME/.kube
sudo cp -f /etc/kubernetes/admin.conf $HOME/.kube/config
sudo chown $(id -u):$(id -g) $HOME/.kube/config

4.4 验证 master 节点

1
2
3
4
5
6


kubectl get nodes
# NAME STATUS ROLES AGE VERSION
# master1 Ready control-plane 5m v1.28.0

kubectl get pods -A
# 所有系统 Pod 应该是 Running

五、worker 节点加入

5.1 在 master 上获取 join 命令

1
2
3
4


kubeadm token create --print-join-command
# 输出类似：
# kubeadm join 10.0.0.10:6443 --token abcdef.0123456789abcdef \
# --discovery-token-ca-cert-hash sha256:xxxxx

5.2 在每个 worker 上执行

1
2
3


sudo kubeadm join 10.0.0.10:6443 \
 --token abcdef.0123456789abcdef \
 --discovery-token-ca-cert-hash sha256:xxxxx

5.3 验证集群

1
2
3
4
5


kubectl get nodes
# NAME STATUS ROLES AGE VERSION
# master1 Ready control-plane 10m v1.28.0
# worker1 Ready <none> 2m v1.28.0
# worker2 Ready <none> 2m v1.28.0

六、常见问题

6.1 kubeadm init 失败：端口占用

1

[ERROR Port-6443]: Port 6443 is in use

对策：

1
2
3


# 找到占用进程
lsof -i :6443
# 杀掉

6.2 kubeadm init 失败：镜像拉不到

国内：

1

sudo kubeadm init --image-repository registry.aliyuncs.com/google_containers ...

国外：

1
2
3
4


# 看具体哪个镜像失败
kubeadm config images list
docker pull <image>
# 重试

6.3 kubectl get nodes 显示 NotReady

1
2
3
4
5


# 看 kubelet 日志
journalctl -u kubelet -f

# 常见：CNI 没装
# 装 flannel/calico

6.4 节点加入后 5 分钟还是 NotReady

1
2
3
4


# 在 worker 上看 kubelet 日志
journalctl -u kubelet -f

# 常见：网络不通（6443 端口）、token 过期（默认 24h）、ca hash 不对

6.5 重置集群（重新 init）

1
2
3


# 在每个节点上
sudo kubeadm reset
sudo rm -rf /etc/kubernetes /var/lib/etcd

七、升级（必须按 kubeadm 流程）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18


# 1. 升级 kubeadm
sudo apt-get update
sudo apt-get install -y kubeadm=1.29.x-00
sudo apt-mark hold kubeadm

# 2. drain 节点
kubectl drain <node-name> --ignore-daemonsets

# 3. 升级
sudo kubeadm upgrade apply v1.29.x

# 4. 升级 kubelet/kubectl
sudo apt-get install -y kubelet=1.29.x-00 kubectl=1.29.x-00
sudo apt-mark hold kubelet kubectl
sudo systemctl restart kubelet

# 5. uncordon
kubectl uncordon <node-name>

升级顺序：

先 master（一台一台滚）
再 worker（kubectl drain → upgrade → uncordon）
不要跨大版本（1.28 → 1.30 风险大，逐版本 1.28 → 1.29 → 1.30）

八、生产级建议

8.1 高可用 master

3 master 模式（堆叠 etcd）：

1
2
3
4
5
6


# 第一台 master
sudo kubeadm init --control-plane-endpoint "lb-vip:6443" --upload-certs

# 其他 master 用同一命令的 join 输出
sudo kubeadm join lb-vip:6443 --token xxx --discovery-token-ca-cert-hash xxx \
 --control-plane --certificate-key xxx

前置条件：

3 台 master 节点
一个负载均衡 VIP（HAProxy / 云 LB）
VIP 后端 3 台 master 的 6443 端口

8.2 关闭 master 上的业务 Pod

1
2
3


kubectl taint nodes --all node-role.kubernetes.io/control-plane-
# 或反操作：加 taint 让 master 不跑业务
kubectl taint nodes master1 node-role.kubernetes.io/control-plane:NoSchedule

8.3 备份 etcd

1
2
3
4
5
6
7
8
9


# 找 etcd pod
kubectl get pods -n kube-system | grep etcd

# 备份
ETCDCTL_API=3 etcdctl snapshot save /backup/etcd-$(date +%F).db \
 --endpoints=https://127.0.0.1:2379 \
 --cacert=/etc/kubernetes/pki/etcd/ca.crt \
 --cert=/etc/kubernetes/pki/etcd/server.crt \
 --key=/etc/kubernetes/pki/etcd/server.key

8.4 监控与日志

metrics-server：kubectl top node/pod
Prometheus + Grafana：监控指标
Loki + Promtail：日志聚合
Jaeger / Tempo：链路追踪

九、卸载

1
2
3
4
5


# 在每个节点
sudo kubeadm reset
sudo apt remove kubeadm kubelet kubectl -y
sudo apt-mark unhold kubeadm kubelet kubectl
sudo rm -rf /etc/kubernetes /var/lib/etcd ~/.kube

小结

K8s 1.x 部署的核心三件套：

kubeadm（init/join 工具）
kubelet（节点代理，每台都装）
kubectl（客户端工具）

集群规模：

学习：1-2 节点（minikube / kind）
生产：3 master + N worker（推荐起点 5 节点）
超大规模：拆多集群，单集群 ≤ 50 节点

生产部署三原则：

HA master（3 台）+ 负载均衡 VIP
apt-mark hold 锁定版本
按官方 kubeadm 流程升级（不要 apt 升级破坏集群）

下一步：

装 Helm（K8s 包管理）
部署 Ingress Controller（Nginx / Traefik）
用 ArgoCD / Flux 做 GitOps
上 Istio / Linkerd 服务网格

源文档：

os/linux/第三方tools/dev/kubernetes/debian安装kubernetes.md（apt 源、版本锁定、bash-completion）
os/linux/第三方tools/dev/kubernetes/k8s集群.md（2/3/5 节点规模选型）

Ubuntu 发行版实战：22.04 / 24.04 server 装机、换源、netplan、LVM、ufw 防火墙

Fri, 15 Nov 2024 00:00:00 +0800

一、为什么是 2024 年这一份

2024 年这个时间点是 Ubuntu 的关键节点：

Ubuntu 22.04 LTS (Jammy Jellyfish) —— 2022-04 发布，2027-04 维护到期，2024 主力
Ubuntu 24.04 LTS (Noble Numbat) —— 2024-04 发布，2027-04 起进入主流
netplan 已成 Ubuntu 网络配置唯一方式（interfaces 退场）
systemd-resolved 是 DNS 解析默认
ufw 是 iptables 之上最常用的防火墙前端
Linux Mint 21.2 “Victoria”（2022）基于 Ubuntu 22.04 LTS，内核 5.15

这一篇覆盖 Ubuntu 22.04 / 24.04 server 装机、U 盘制作、换源（清华 / 中科大 / 阿里云）、netplan 静态 IP、systemd-resolved DNS、ufw 防火墙、LVM on RAID10、Linux Mint 美化——Ubuntu 装机一站式手册。

阅读建议：本文按"先看版本 → 选对应章节"组织。22.04 与 24.04 大部分操作通用，差异点单独标注。

二、Ubuntu 22.04 装机流程

2.1 下载镜像

1
2
3
4


# 官方下载
https://cn.ubuntu.com/download/server/step1

# 22.04.2 live-server-amd64.iso

2.2 U 盘制作工具

工具	平台	特点
Rufus	Windows	轻量、绿色版、首选
imageUSB	Windows	老牌工具
UltraISO	Windows	老牌但被 Rufus 取代
balenaEtcher	跨平台	macOS / Linux 也用

1
2


# Rufus 4.0 绿色版
https://github.com/pbatard/rufus/releases/download/v4.0/rufus-4.0p.exe

2.3 U 盘写入步骤

打开 Rufus
选择下载的 ISO
选择 U 盘
默认设置（MBR / FAT32）即可
点"开始"等完成

关于 UEFI vs Legacy：UEFI 模式建议选 GPT；Legacy 模式选 MBR。Rufus 默认是 MBR + BIOS，UEFI 需要手动改。

三、换源：清华 / 中科大 / 阿里云

3.1 清华源（22.04）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16


# 备份
mv /etc/apt/sources.list /etc/apt/sources.listbak

# 写入清华源
cat > /etc/apt/sources.list << "EOF"
deb https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ jammy main restricted universe multiverse
deb https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ jammy-updates main restricted universe multiverse
deb https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ jammy-backports main restricted universe multiverse

deb http://security.ubuntu.com/ubuntu/ jammy-security main restricted universe multiverse
EOF

apt update

# 还原
mv /etc/apt/sources.listbak /etc/apt/sources.list

3.2 中科大源

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


cat << "EOF" > /etc/apt/sources.list
deb https://mirrors.ustc.edu.cn/ubuntu/ jammy main restricted universe multiverse
deb-src https://mirrors.ustc.edu.cn/ubuntu/ jammy main restricted universe multiverse
deb https://mirrors.ustc.edu.cn/ubuntu/ jammy-updates main restricted universe multiverse
deb-src https://mirrors.ustc.edu.cn/ubuntu/ jammy-updates main restricted universe multiverse
deb https://mirrors.ustc.edu.cn/ubuntu/ jammy-backports main restricted universe multiverse
deb-src https://mirrors.ustc.edu.cn/ubuntu/ jammy-backports main restricted universe multiverse
deb https://mirrors.ustc.edu.cn/ubuntu/ jammy-security main restricted universe multiverse
deb-src https://mirrors.ustc.edu.cn/ubuntu/ jammy-security main restricted universe multiverse
deb https://mirrors.ustc.edu.cn/ubuntu/ jammy-proposed main restricted universe multiverse
deb-src https://mirrors.ustc.edu.cn/ubuntu/ jammy-proposed main restricted universe multiverse
EOF

3.3 sed 一键替换

1
2


# 默认 cn.archive.ubuntu.com 替换为清华
sed -i 's/http://cn.archive.ubuntu.com/https://mirrors.tuna.tsinghua.edu.cn/g' /etc/apt/sources.list

四、netplan 网络配置

4.1 静态 IP（22.04）

1

vim /etc/netplan/00-installer-config.yaml

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18


network:
 ethernets:
 eno1:
 dhcp4: false
 addresses:
 - 192.168.10.127/24
 routes:
 - to: default
 via: 192.168.10.1
 nameservers:
 addresses: [211.138.24.66, 114.114.114.114, 192.168.10.1]
 eno2:
 dhcp4: true
 eno3:
 dhcp4: true
 eno4:
 dhcp4: true
 version: 2

1

netplan apply

YAML 严格缩进：netplan 对 YAML 缩进敏感，缩进错一个空格都可能报错。

4.2 改回 DHCP

1
2
3
4
5
6
7
8
9


cat > /etc/netplan/00-installer-config.yaml << "EOF"
network:
 ethernets:
 eno1:
 dhcp4: true
 version: 2
EOF

netplan apply

五、systemd-resolved DNS

5.1 配置

1

vim /etc/systemd/resolved.conf

1
2
3
4
5
6
7
8
9


[Resolve]
# Some examples of DNS servers which may be used for DNS= and FallbackDNS=:
# Cloudflare: 1.1.1.1#cloudflare-dns.com 1.0.0.1#cloudflare-dns.com ...
# Google: 8.8.8.8#dns.google 8.8.4.4#dns.google ...
# Quad9: 9.9.9.9#dns.quad9.net ...
#DNS=
DNS=114.114.114.114

systemctl restart systemd-resolved

5.2 验证

1
2
3


resolvectl status
# 或
cat /run/systemd/resolve/resolv.conf

关于 /etc/resolv.conf：Ubuntu 17.10+ 的 /etc/resolv.conf 是软链接到 /run/systemd/resolve/stub-resolv.conf，手动修改 /etc/resolv.conf 重启后失效。正确做法是改 /etc/systemd/resolved.conf。

六、ufw 防火墙

6.1 启用与默认策略

1
2
3
4


# 启用
ufw enable
# 默认拒绝入站
ufw default deny

6.2 查看规则

1

ufw status numbered

1
2
3
4
5
6


Status: active
 To Action From
 -- ------ ----
[ 1] 22/tcp ALLOW IN Anywhere
[ 2] 80/tcp ALLOW IN Anywhere
[ 3] 443/tcp ALLOW IN Anywhere

6.3 添加规则

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 允许指定端口
ufw allow 22

# 允许指定服务
ufw allow ssh

# 允许指定 IP
ufw allow from 192.168.1.0/24

# 允许指定 IP + 端口
ufw allow from 192.168.1.100 to any port 3306

6.4 删除规则

1
2
3
4
5


# 按编号删除
ufw delete 3

# 按规则删除
ufw delete allow 3690

6.5 禁用

1

ufw disable

七、磁盘挂载到已有目录

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25


# 1. 查磁盘
fdisk -l

# 2. 假设要把 /dev/sdb1 挂到 /home
# 如果 /home 已有内容，先备份
cp -r /home /home.bak

# 3. 卸载（如果已挂）
umount /home

# 4. 创建文件系统
mkfs.ext4 /dev/sdb1

# 5. 挂载
mount /dev/sdb1 /home

# 6. 还原内容
cp -r /home.bak/* /home/
chown -R <原用户>:<原组> /home/<原用户>

# 7. 写 fstab 永久挂载
echo "UUID=$(blkid -s UUID -o value /dev/sdb1) /home ext4 defaults 0 2" >> /etc/fstab

# 8. 测试
mount -a

八、Ubuntu 24.04 (Noble Numbat) 装机全流程

8.1 RAID10 + LVM 分区方案

服务器场景：4 块 40G 盘做 RAID10 + LVM

用途	大小	类型
`/boot`	1G	ext4
`/`	30G	ext4
`/home`	48.9G	ext4

可用空间计算：4 块 40G RAID10 可用 80G，分配：1G boot + 30G / + 48.9G /home ≈ 80G（留少量未分配）。

8.2 装机步骤

启动安装器（VMware 中引导）
选择语言：English
选择键盘：English (US)
选择类型：Ubuntu Server (minimized)
配置网络：
- 选 eno1
- 选 Edit IPv4
- 选 Manual
- Subnet: 192.168.132.0/24
- Address: 192.168.132.139
- Gateway: 192.168.132.2
- Name servers: 192.168.132.2
- Search domains: 114.114.114.114
配置代理：留空
配置源：
- 替换 http://cn.archive.ubuntu.com/ubuntu/ 为 https://mirrors.tuna.tsinghua.edu.cn/ubuntu/
自定义分区：
- 选第一块盘 /dev/sda
- Use As Boot Device
- /dev/sda 留 unformatted
- /dev/sdb、sdc、sdd 同样 unformatted
创建 RAID10：4 块盘全部加入
创建 LVM：
- 在 RAID10 上建 VG（vg0）
- 建 LV：lv-0（1G 给 /boot）、lv-1（30G 给 /）、lv-2（48.9G 给 /home）
格式化：
- lv-0 → ext4 → /boot
- lv-1 → ext4 → /
- lv-2 → ext4 → /home
配置用户：username/password
是否升级到 pro：选 Skip
安装 OpenSSH Server：勾选
可选软件：留空
开始安装
重启

8.3 装机后基本配置

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29


# 1. 登录
# 用创建的用户登录

# 2. 启用 root
sudo passwd root
# 输入当前用户密码
# 输入新 root 密码
# 确认 root 密码

# 3. 切换到 root
su
# 输入 root 密码

# 4. 启动 root 远程 SSH
sed -i 's/^#PermitRootLogin.*/PermitRootLogin yes/' /etc/ssh/sshd_config
systemctl restart ssh

# 5. 测试远程登录
# 用 ssh root@<host> 验证

# 6. 上传公钥开私钥登录
curl https://<your-internal-file-server>/id_rsa.pub -o /root/id_rsa.pub --create-dirs
mkdir -p /root/.ssh && touch /root/.ssh/authorized_keys
cat /root/id_rsa.pub >> /root/.ssh/authorized_keys
rm -f /root/id_rsa.pub

# 7. 禁用密码登录
sed -i 's/^#PasswordAuthentication.*/PasswordAuthentication no/' /etc/ssh/sshd_config
systemctl restart ssh

8.4 装机后查磁盘

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13


lsblk
# NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINTS
# sda 8:0 0 40G 0 disk
# ├─sda1 8:1 0 1M 0 part
# └─sda2 8:2 0 40G 0 part
# └─md0 9:0 0 79.9G 0 raid10
# ├─vg0-lv--0 252:0 0 1G 0 lvm /boot
# ├─vg0-lv--1 252:1 0 30G 0 lvm /
# └─vg0-lv--2 252:2 0 48.9G 0 lvm /home
# sdb 8:16 0 40G 0 disk
# └─sdb1 8:17 0 40G 0 part
# └─md0 9:0 0 79.9G 0 raid10
# ...

8.5 fstab 验证

1
2
3
4
5
6


cat /etc/fstab
# /etc/fstab: static file system information.
#
# <file system> <mount point> <type> <options> <dump> <pass>
# / was on /dev/vg0/lv-1 during curtin installation
/dev/disk/by-id/dm-uuid-LVM-... / ext4 defaults 0 1

关于 /dev/disk/by-id/dm-uuid-LVM-...：24.04 用 /dev/disk/by-id/ 路径而不是传统的 /dev/vg0/lv-1，这是 curiin 安装器做的"稳定路径"映射，避免 LV 顺序变化时挂错。

九、Linux Mint 21.2 “Victoria” 美化

Linux Mint 21.2 “Victoria”（2022 年发布）底层仍是 Ubuntu 22.04 LTS，内核采用 Linux 5.15。

9.1 安装

选择兼容性安装
进入桌面点击安装
选择中文简体
安装解码器
键盘布局默认 Chinese
分区自动
等待安装
重启完成

9.2 Windows 11 迁移验证

常用软件列表：Chrome、VSCode、Office、Notion、QQ、微信等。

9.3 美化

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


# 1. 安装 plank（仿 macOS 的 dock）
sudo apt install -y plank
# 开机自启动
sudo ln -s /usr/share/applications/plank.desktop /etc/xdg/autostart/

# 2. 添加 dock 图标
vim ~/.config/plank/dock1/launchers/firefox.dockitem
# [PlankDockItemPreferences]
# Launcher=file:///usr/share/applications/firefox.desktop

# 3. 装 Numix 主题（圆角图标）
sudo add-apt-repository ppa:numix/ppa
sudo apt update
sudo apt install numix-icon-theme-circle

十、Ubuntu 装机常见问题

10.1 apt-get update 报 GPG 错

1
2
3
4


W: GPG error: ... NO_PUBKEY 648ACFD622F3D138

# 解决：换 HTTPS 源
apt install apt-transport-https ca-certificates

10.2 中文乱码 / locale 设置

1
2
3
4
5
6


# 生成 zh_CN.UTF-8
locale-gen zh_CN.UTF-8
update-locale LANG=zh_CN.UTF-8

# 立即生效
export LANG=zh_CN.UTF-8

10.3 安装 SSH 后 root 登录被拒

1
2
3
4
5
6


# 检查 sshd_config
grep -i "PermitRootLogin\|PasswordAuthentication" /etc/ssh/sshd_config

# 启用 root
sed -i 's/^#PermitRootLogin.*/PermitRootLogin yes/' /etc/ssh/sshd_config
systemctl restart ssh

十一、前置知识 / 下一步

想看 Debian 9/10/11 装机 → 翻本系列《Debian 家族发行版全指南》
想看 LVM 详细操作 → 翻本系列《Linux 磁盘与 LVM 深度实践》
想看 netplan 高级配置（VLAN、bridge、bond）→ 翻独立文章
想看 ufw 高级配置（rate limit、IPv6）→ 翻独立文章
想看 Deepin 桌面 + Wine → 翻本系列《Deepin 与 Kali 发行版实战》

十二、参考资源

Ubuntu Server Guide：https://ubuntu.com/server/docs
Ubuntu 24.04 Release Notes：https://discourse.ubuntu.com/t/noble-numbat-release-notes/
netplan 官方：https://netplan.io/
UFW 官方 wiki：https://wiki.ubuntu.com/UncomplicatedFirewall
Linux Mint 官方：https://linuxmint.com/
Rufus 官方：https://rufus.ie/zh/
清华源 Ubuntu：https://mirrors.tuna.tsinghua.edu.cn/ubuntu/
中科大源 Ubuntu：https://mirrors.ustc.edu.cn/ubuntu/

2024+ 视角：写于 2024-11，半年后 Ubuntu 24.04.2 LTS 已成"实战稳定版"

本文写于 2024-11-15——半年后（2025 年中）Ubuntu 24.04 已发布 24.04.2（2025-02）LTS 更新。

一、Ubuntu 24.04 LTS 半年回顾（2024-11 → 2025-05）

Ubuntu 24.04.1 LTS（2024-08）：首个点版本，大量 bug 修复。
Ubuntu 24.04.2 LTS（2025-02）：第二个点版本，硬件 enablement kernel（5.15 → 6.8 HWE）。
Ubuntu 24.10（2024-10 发布，非 LTS）：半年版，体验 Gnome 47。
Ubuntu 25.04（2025-04 发布，非 LTS）：半年版。
LTS 长期支持：
- 标准支持：到 2029-04（5 年）
- Ubuntu Pro / ESM：到 2034-04（10 年）

二、Ubuntu 24.04 LTS 装机后的"坑"

2024-11 装机半年后，最常见的"踩坑"：

netplan + NetworkManager 双管理器冲突——必须只用一个。
IPv6 PD 默认开启但默认防火墙没放行——手动配置：
1

ufw allow in proto ipv6

snap store 服务（snapd）开机很慢——可以禁掉：

1
2


systemctl disable --now snapd.service snapd.socket snapd.seeded.service
apt purge snapd

systemd-resolved 与 resolvconf 冲突——apt purge resolvconf。

三、Ubuntu 24.04 + AI 生态

Ubuntu 24.04 起 官方支持 NVIDIA AI Workbench。
Snap 商店 集成 LLM 工具（Ollama / LM Studio）。
Python 3.12 + CUDA 12.x + PyTorch 2.4 是 2024 AI 训练首选环境。

1
2
3
4
5
6


# 2024 AI 开发环境
sudo apt install -y python3.12 python3.12-venv
curl -fsSL https://ollama.com/install.sh | sh
ollama pull llama3.1:8b
# 本地 LLM 跑通
ollama run llama3.1:8b

四、Linux Mint 22 (Wilma) 2024 发布

Linux Mint 22 “Wilma”（2024-08 发布）：基于 Ubuntu 24.04 LTS。
Cinnamon 6.2 桌面（Linux Mint 招牌）。
Linux Mint Edge（基于 Debian 13 testing，滚动版）。

五、Ubuntu Pro 2024 变化

Ubuntu Pro（2023 起个人免费 5 台机器）：
- 10 年安全更新（LTS 5 年 + ESM 5 年）
- CIS hardening、FIPS 140-2、Livepatch
- 覆盖 apt 仓库额外 5 年（23,000+ 包）
个人 Pro：免费 5 台机器（2023-09 起）。
企业 Pro：付费，含 Landscape、Ansible、Support。

1
2
3
4


# 启用 Ubuntu Pro
sudo pro attach
sudo pro enable livepatch
sudo pro enable esm-apps esm-infra

六、Netplan 0.106+ 新特性（24.04）

Netplan 0.106（2024 起）：
- Open vSwitch 支持
- TC（traffic control） 配置
- VRF（Virtual Routing and Forwarding）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


# netplan VRF 配置
network:
 version: 2
 vrfs:
 vrf-red:
 table: 1000
 interfaces: [eno1]
 ethernets:
 eno1:
 dhcp4: false

七、UFW 2024 增强

UFW 0.36+（2024）：ufw app 命令管理应用配置。
ufw limit 限速（防爆破）：

1
2
3


# 限制 SSH 速率（防爆破）
ufw limit 22/tcp comment "SSH 速率限制"
# 默认每 30 秒 6 次连接

ufw route 路由规则（高级用法）：

1
2


# 允许从 10.0.0.0/8 到 192.168.1.100:3306
ufw route allow from 10.0.0.0/8 to 192.168.1.100 port 3306 proto tcp

八、Ubuntu Server 24.04 的"云原生"姿势

2024 起 Ubuntu Server 默认安装 multipass + LXD（K8s / 容器）。
LXD 5.21+（2024 LTS）：支持 GPU 直通（AI 训练 / 推理）。
Multipass 1.14+：云镜像本地跑（VM-based 容器）。

1
2
3
4
5


# LXD 起 GPU 容器
lxc launch ubuntu:24.04 ai-vm --vm -c limits.cpu=4 -c limits.memory=8GiB --gpu

# Multipass 起 K8s 集群
multipass launch --name k8s-1 --cpus 4 --memory 8G --disk 50G

九、apt 2.7+ 的 DEB822 格式

apt 2.7+（Ubuntu 24.04）：支持 DEB822 格式（.sources 文件）—— 比传统 .list 更结构化。

1
2
3
4
5
6


# /etc/apt/sources.list.d/ubuntu.sources
Types: deb
URIs: https://mirrors.tuna.tsinghua.edu.cn/ubuntu
Suites: noble noble-updates noble-security
Components: main restricted universe multiverse
Signed-By: /usr/share/keyrings/ubuntu-archive-keyring.gpg

优势：支持多个签名 key、更清晰的注释、snap 集成更顺。

十、Ubuntu 24.04 与 snap 的"恩怨"

2024 视角：snap 在 Ubuntu Server 24.04 仍是默认——snap install 装 chromium、code、spotify。
争议：
- snap 应用启动慢（10+ 秒）
- snap 占用磁盘大（多版本共存）
- 不能完全卸载 snap（apt purge snapd 后部分应用受影响）
替代：
- 用 apt 装（chromium chromium-browser）
- 用 Flatpak（跨发行版）
- 用 AppImage（单文件可执行）

十一、Ubuntu 24.04 LTS 装机"经验教训"半年汇总

装好后必做：
1. apt update && apt upgrade -y（首次 24.04.0 → 24.04.2）
2. 配时区 / NTP：timedatectl set-timezone Asia/Shanghai
3. 禁用 snap（如果不想要）
4. 配 sshd：禁止 root 密码登录、强制 ed25519
5. 配 ufw：放行 22 + 必要端口
6. 装 fail2ban：防 SSH 爆破
2024 推荐装机方式：
- 云厂商：直接用云市场镜像（Ubuntu 24.04 LTS + 云厂商优化）
- 本地：Ventoy + Ubuntu 24.04 ISO + manual 分区（LVM on LUKS）

OpenWrt 实战：x86 软路由 + OpenClash 科学上网

Tue, 15 Oct 2024 00:00:00 +0800

一、为什么 2024 年要装 x86 软路由

家用路由器固件一般分两派：

原厂固件（TP-Link / 华为 / 小米）—— 功能弱，但稳定
第三方固件：
- 梅林（Asuswrt-Merlin）：基于华硕开源的 Asuswrt，专为华硕路由器定制
- OpenWrt：开源、原生 Linux、功能极强，x86 软路由用得最多

x86 软路由 vs 硬路由：

维度	硬路由	x86 软路由
性能	弱（几百 MHz MIPS）	强（多核 x86_64）
功能	原厂固件	OpenWrt 全功能
硬件成本	低（200-2000）	中（一台 NUC / J4125 准系统 500-1500）
维护	简单	需要 Linux 基础
科学上网	部分支持	OpenClash / PassWall 全支持

本文只讲 x86 软路由——把 OpenWrt 跑在 VMware ESXi / Workstation 虚拟机里。

本文写于 2024-10-15。示例基于 DHDAXCW/OpenWRT_x86_x64 的 2024.06.13 Lean 版。梅林固件是华硕路由器的固件选择，文末简单介绍。

二、下载 OpenWrt x86_64 镜像

社区维护的集成 Lean / immortalwrt 的 x86 镜像最常用：

1

https://github.com/DHDAXCW/OpenWRT_x86_x64/releases/download/2024.06.13-Lean/2024.06.13-openwrt-x86-64-squashfs-efi.img.gz

两个关键参数：

x86-64：64 位 x86 架构
squashfs：只读压缩文件系统 + overlay 写入（生产环境用）
efi：UEFI 启动（现代机器用）

老的 BIOS 机器下 x86-64-generic-squashfs-combined.img.gz 版本。

三、转换镜像格式

VMware / ESXi 用的 VMDK 文件，要用 StarWind V2V Converter 把 img 转成 vmdk：

1

https://www.starwindsoftware.com/tmplink/starwindconverter.exe

步骤：

解压 2024.06.13-openwrt-x86-64-squashfs-efi.img.gz → 得到 .img
打开 StarWind V2V Converter
源格式：Local file → 选 .img
目标格式：VMware growable image (VMDK)
输出文件：2024.06.13-openwrt-x86-64-squashfs-efi.vmdk
把 .vmdk 拷到虚拟机的存储目录（VMware 默认是 D:\soft\Virtual Machines\openwrt\）

四、在 VMware 里创建虚拟机

4.1 选兼容性

ESXi：兼容性选 ESXi 6.7 或更高
Workstation：Workstation 17.x 即可

4.2 系统类型

客户机操作系统：Linux
版本：Other Linux 5.x or later kernel (64-bit)
固件：UEFI（关键，否则启动不了 efi 镜像）

4.3 硬件配置

CPU：1-2 核
内存：512 MB-1 GB（OpenWrt 占用很小）
硬盘：删掉默认的"新硬盘"，选现有虚拟磁盘 → 选刚才转换的 vmdk
网络：选 VM Network（同物理网段）或自定义网络

4.4 启动

开机 → 自动进 OpenWrt。

五、配置网络

OpenWrt 默认 LAN 口是 br-lan（桥接 br-lan），DHCP 启用，默认 IP 192.168.1.1。

5.1 改 IP

如果跟现有路由器网段冲突，先改 IP。这里改成 192.168.132.250：

1
2
3
4
5
6
7
8
9


vi /etc/config/network

config interface 'lan'
 option ifname 'eth0'
 option proto 'static'
 option ipaddr '192.168.132.250'
 option netmask '255.255.255.0'
 option gateway '192.168.132.2'
 option dns '114.114.114.114'

坑提醒：VMware Workstation 的 VMnet8 (NAT) 网关默认是 192.168.132.2，改 IP 跟它对得上才能上网。

5.2 重启网络

1

/etc/init.d/network restart

5.3 验证

1
2
3


ping 192.168.132.2
ping 8.8.8.8
ping baidu.com

六、Web 访问

浏览器开 http://192.168.132.250：

默认用户名：root
默认密码：password（第一次登录必须改）

七、配置 SSH 公钥登录

7.1 客户端生成密钥

1
2


ssh-keygen -t ed25519 -C "lwd@<your-host>"
# 生成 ~/.ssh/id_ed25519 和 ~/.ssh/id_ed25519.pub

7.2 把公钥推到 OpenWrt

方式 1：Web UI

System → Administration → SSH-Keys → 把 id_ed25519.pub 内容粘进去 → Save

方式 2：命令行

1
2
3
4
5
6
7
8


ssh root@192.168.132.250
# 输入默认密码登录

# 在 OpenWrt 上
vi /etc/dropbear/authorized_keys
# 把 id_ed25519.pub 内容粘进去
chmod 600 /etc/dropbear/authorized_keys
/etc/init.d/dropbear restart

7.3 免密登录

1
2


ssh root@192.168.132.250
# 直接进

八、装 OpenClash（科学上网）

OpenClash 是 OpenWrt 上最流行的"科学上网"客户端之一——支持订阅、规则、TUN 模式。

8.1 装

1
2
3
4
5
6
7
8


# 装依赖
opkg update
opkg install coreutils-nohup bash iptables dnsmasq-full curl ca-certificates ipset ip-full libcap libcap-bin

# 下载 OpenClash ipk
# 社区下载页：https://github.com/vernesong/OpenClash/releases
wget https://github.com/vernesong/OpenClash/releases/download/v0.46.065/luci-app-openclash_0.46.065_all.ipk
opkg install luci-app-openclash_0.46.065_all.ipk

8.2 配置订阅

Web UI：服务 → OpenClash → 配置订阅

订阅 URL 示例（仅作格式示例，请用你自己的订阅）：

1

https://sub.xeton.dev/sub?target=clash&filename=SSRDOG.yaml&new_name=true&url=https%3A%2F%2F<your-subscription-url>&insert=false&config=https%3A%2F%2Fraw.githubusercontent.com%2FACL4SSR%2FACL4SSR%2Fmaster%2FClash%2Fconfig%2FACL4SSR_Online.ini

把 URL 粘到订阅管理 → 点"下载配置" → 启动 OpenClash。

8.3 验证

服务 → OpenClash → 运行状态：

内核已启动：Yacd / Dashboard 显示连接数
访问 Google：通

九、远程访问 OpenWrt

9.1 Web 远程

路由器防火墙放行 80 / 443 端口（如果走公网访问）：

1
2


# 改 /etc/config/firewall
# 把 lan zone 的 input 改成 ACCEPT

9.2 SSH 远程

路由器 22 端口映射到公网
生产环境强烈不推荐——OpenWrt 默认密码 password 是公开的

十、典型坑速查

现象	原因	处理
VMware 启动卡住	选了 BIOS 启动	改成 UEFI 启动
转换 VMDK 失败	选错源格式	选 Local file 而非 Physical disk
改 IP 后 SSH 断	VMnet 网段不匹配	确认 IP 跟宿主 VMnet 网段匹配
Web UI 进不去	浏览器缓存	清缓存或换无痕模式
OpenClash 启动失败	没装依赖	走 §8.1 装依赖包
装了 OpenClash 但所有流量都走代理	规则不匹配	改 ACL4SSR 规则为 `Online` 全量版

十一、梅林（Asuswrt-Merlin）固件简介

梅林固件是 Asuswrt-Merlin（开发者 Eric Sauvageau / RMerl）的华硕路由器定制固件——基于华硕开源的 Asuswrt。

跟 OpenWrt 的区别：

梅林只在华硕路由器上能装（型号限制）

梅林支持软件中心（koolshare）、屏蔽广告、游戏加速、定时任务、挂载硬盘等家用功能

OpenWrt通用 x86 / ARM / MIPS 多平台

笔者 2021-04 那台 华硕 RT-AC86U（京东 629 元入手）刷的是梅林 + koolshare 软件中心。

11.1 装

确认型号在梅林支持列表：https://www.asuswrt-merlin.net/download
官方固件先升级到最新官方版本
在路由管理界面 http://192.168.1.1 → 系统管理 → 固件升级 → 上传 .trx 文件
等 2-3 分钟重启，别断电

11.2 装软件中心

刷 koolshare 改版梅林（梅林改版）
在 koolshare.cn 论坛下载软件中心离线包
软件中心 → 离线安装 → 选 .gz 包

11.3 常用功能

屏蔽广告（koolshare 软件中心 → 广告屏蔽）
科学上网（梅林自带 VPN 客户端 + koolshare 第三方插件）
游戏加速（WTFast / UU 加速器插件）

十二、下一步

想做更专业的科学上网 → OpenClash → 走 Yacd / Dashboard 控制面板
想监控所有设备流量 → OpenWrt + Prometheus + Grafana
想做企业级 SD-WAN → OPNsense / pfSense（基于 FreeBSD，UI 更好看）
想玩极致性能 → 准系统 J4125 / N5105 + 双 2.5G 网卡 + OpenWrt 主路由
不想折腾 → 买 R5S / R68S 之类的现成软路由盒

参考资料

2024+ 视角：写于 2024-10，半年后 OpenWrt 23.05 + MetaROUTER 的新生态

本文写于 2024-10-15——半年后（2025 年中）OpenWrt 生态又有了几个大变化：

一、OpenWrt 23.05 正式版（2024-06 推出）

OpenWrt 23.05（“Wavefunction”）2024-06-06 正式发布，替代 22.03 系列的快照版。
Linux Kernel 5.15 LTS（22.03 用了 5.10）。
新的 firewall4（nftables 替代 iptables）：官方推荐——fw4 用 nftables 后端，但兼容旧 iptables 语法。
odhcpd 升级：IPv6 行为更稳定。
Image Builder 改动：make menuconfig 后编译流程有变。

1
2
3
4
5
6
7
8


# 看自己跑的是哪个版本
cat /etc/openwrt_release
# DISTRIB_ID='OpenWrt'
# DISTRIB_RELEASE='23.05.0'
# DISTRIB_REVISION='r23809-234f1a2efa'
# DISTRIB_TARGET='x86/64'
# DISTRIB_ARCH='x86_64'
# DISTRIB_DESCRIPTION='OpenWrt 23.05.0 r23809-234f1a2efa'

二、OpenClash 的"接班人"：MetaROUTER + mihomo

OpenClash 2023 年起作者（vernesong）维护节奏放缓，社区开始转向 mihomo（Clash Meta 的 Go 重写版）：

1
2
3


# mihomo 内核（替代 clash premium / OpenClash Yacd）
opkg install mihomo
# 配置 /etc/mihomo/config.yaml（与 Clash Premium 配置格式兼容）

Meta 路由（2024 社区项目）：把 OpenWrt 整体做成"智能网关"——内置广告拦截、内网 DNS、智能分流。
sing-box（2023 推出，Clash 团队重组后的新项目）也是 2024 主流选择：

1
2
3


opkg install sing-box
# /etc/sing-box/config.json
# 模式：tun（透明代理）

三、x86 软路由的"新主流"硬件

2024-2025 x86 软路由盒子的"主流配置"已经升级：

年代	主流配置	价格
2018-2020	J1900 / J3455（4 网口）	¥300-500
2021-2022	J4125 / N4100（4 网口 2.5G 萌芽）	¥500-800
2024-2025	N100 / N305 / i3-N305（双 2.5G / 4×2.5G）	¥800-1500
2024 高端	Intel N100 + 4×i226-V 2.5G 网卡	¥1200-2000

N100（4 核 4 线程，6W TDP）2024 是"软路由甜点 CPU"。
Intel N305（8 核 8 线程，15W TDP）：带 2.5G 网卡 + WiFi 6。
R86S / R5S / N100 准系统是 2024-2025 的"现成方案"。

四、VMware Workstation 的"免费替代"

VMware Workstation Pro 17.5+（2024-05）已对个人用户免费（之前是付费）。
更激进的免费替代：
- VirtualBox 7.x（2024-2025 仍是 Oracle 维护，跨平台免费）
- Proxmox VE 8.x（2023+）—— 开源 KVM 虚拟化，Web 界面，2024 自托管玩家首选
- KVM + Cockpit（Linux 原生，RHEL / Ubuntu 默认装）—— 2024 系统管理员的标准动作

1
2
3
4


# Proxmox 装（Debian 12 base）
echo "deb [signed-by=/etc/apt/keyrings/proxmox-release.gpg] http://download.proxmox.com/debian/pve bookworm pve-no-subscription" > /etc/apt/sources.list.d/pve.list
apt update && apt install proxmox-default-kernel
# 然后通过 https://<ip>:8006 访问 Web

五、AI + 路由：eBPF + 智能 QoS

2024 OpenWrt + eBPF 实现"应用级智能 QoS"：
- 自动识别视频会议流量（Zoom/Teams/Webex）→ 优先保障
- 自动识别 P2P / BT 流量 → 限速
- 自动识别游戏流量（LOL/Steam）→ 低延迟队列
应用：QCA / OpenWrt nss（Qualcomm 加速） + eBPF 内核态 QoS。

六、IPv6 + 软路由的"原生融合"

2024 大陆运营商IPv6 全面普及（电信 / 联通 / 移动均默认下发 IPv6）。
OpenWrt 23.05 的 odhcpd 自动处理 IPv6 PD（前缀委派）+ SLAAC。
常见应用：
- 内网 IPv6 设备直连公网（NAT66 仍推荐）
- DDNS 同步 IPv6 到域名（dynv6 / afraid.org / DNSpod）
- ip6tables 防火墙规则

1
2
3


# 看 OpenWrt IPv6 状态
ip -6 addr show
ip -6 route show

七、安全加固的"必做清单"（2024 视角）

2024 OpenWrt 软路由最常见的入侵途径还是默认弱密码（password）：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


# 必做：改 root 密码
passwd
# 必做：改 Web UI 端口
uci set uhttpd.main.listen_http='0.0.0.0:88'
uci commit uhttpd
/etc/init.d/uhttpd restart

# 必做：禁 SSH 密码登录
uci set dropbear.@dropbear[0].PasswordAuth='off'
uci set dropbear.@dropbear[0].RootPasswordAuth='off'
uci commit dropbear
/etc/init.d/dropbear restart

公网暴露 SSH = 自杀——所有公网 SSH 都被自动化扫端口，通过 Cloudflare Tunnel / Tailscale Funnel 暴露更安全。
OpenWrt 内核 5.x 的安全特性：Lockdown LSM、CFI（Control Flow Integrity）已在 23.05 启用。

Linux 性能调试与应急排查：htop / sysdig / unhide 与挖矿病毒清理

Mon, 03 Jun 2024 00:00:00 +0800

〇、2024 视角（写于 2024-06）

本篇首发于 2024-06，过去 2 年挖矿病毒、内核 Rootkit 形态发生了一些变化：

unhide 仍是 Linux 下找隐藏进程最轻量的工具，但部分 Rootkit 已经能 hook 掉 /proc 遍历，建议结合 sysdig / bpftrace 一起看。
sysdig 2023 起被 Sysdig 公司收为闭源商业版的一部分，但社区 fork draios/sysdig 仍可拉取旧版开源；2024 推荐用 bpftrace / opensnoop-bpftrace 替代做 syscall 级追踪。
挖矿病毒命名：过去是 8 位随机名（f54e90d4），2024 已进化为伪装成系统服务名（kthrotlds、migration/0），单看名字不再可靠，必须看 cmdline + 真实可执行路径。
应急 SOP 没变：先断网 → 看进程 → 看 cron → 杀进程 → 删 cron → 改密码 → 关密码登录 → 备份数据后重装。

下面进入正文。

一、为什么需要"应急排查"清单

线上服务器出现异常，最贵的成本不是 CPU 也不是磁盘，而是"不知道下一步该敲什么命令"。本文按"症状 → 第一条命令 → 深入分析 → 处置"的顺序，整理了 4 个最常见场景的应急清单：

CPU 拉满但 top 看不出明显元凶（隐藏进程 / 多核分配）
磁盘 IO 飙高（iostat / 临时压测复现）
登录用户可疑（踢人 / 改端口）
挖矿病毒（unhide / sysdig 找进程 / 清理定时任务）

每个场景都给最小可运行命令，不讲空洞理论。

重要原则：发现入侵迹象后，先断网再排查，避免恶意进程远程"自删"破坏现场。

二、场景 1：CPU 拉满

2.1 一条命令把 CPU 吃满（用于复现 / 压测）

1
2
3
4
5
6
7


# 起 N 个 dd 占满所有核心（N = 物理 CPU 个数）
for i in $(seq 1 $(cat /proc/cpuinfo | grep "physical id" | wc -l)); do
 dd if=/dev/zero of=/dev/null &
done

# 收尾
pkill -9 dd

原理：dd if=/dev/zero of=/dev/null 不产生 IO，只用 CPU。N 个并行正好把 N 核打满。

2.2 内存打满（用于测试 OOM）

1
2
3
4
5
6
7


# 占 1G 内存 1 小时
mkdir /tmp/memory
mount -t tmpfs -o size=1024M tmpfs /tmp/memory
dd if=/dev/zero of=/tmp/memory/block
sleep 3600
umount /tmp/memory
rmdir /tmp/memory

2.3 磁盘 IO 打满（用于复现 IO 瓶颈）

1
2
3


while true; do
 dd if=/dev/urandom of=/burn bs=1M count=1024 iflag=fullblock
done

跑起来后用 iostat 观察：

1

iostat -d -x -k 1 1

关键列含义：

列	含义
`r/s` / `w/s`	每秒读 / 写次数
`rkB/s` / `wkB/s`	每秒读 / 写 KB
`await`	平均每次 IO 等待时间（ms）
`svctm`	平均每次 IO 服务时间（ms）
`%util`	设备繁忙时间占比，接近 100% 就是瓶颈
`avgqu-sz`	平均 IO 队列长度

2.4 CPU 满但 `top` 看不到凶手

很可能是进程被 Rootkit 隐藏了。ps 只能看到 /proc 里可见的进程，Rootkit 通过改系统调用 / 内核模块把进程从 /proc 抹掉。

1
2
3
4
5
6


# 安装
apt install unhide # Debian / Ubuntu
yum install unhide # CentOS

# 扫描隐藏进程
unhide proc

输出示例（节选）：

1
2
3
4
5
6
7
8


Found HIDDEN PID: 8627
 Cmdline: "<none>"
 Executable: "<no link>"

Found HIDDEN PID: 8631
 Cmdline: "/tmp/ntools"
 Executable: "/tmp/ntools (deleted)"
 Command: "ntools"

"<no link>" 加 (deleted) 几乎可以肯定是被替换的可执行文件。这种进程ps 看不到，但 unhide 跑遍 /proc 就能揪出来。

2.5 sysdig：高级武器

1
2
3
4
5


# 装
apt install sysdig # 或 yum install sysdig

# CPU Top
sysdig -c topprocs_cpu

输出形如：

1
2
3
4


CPU% Process PID
--------------------------------------------------------------------------------
1986.02% Discord 3225098
1800.44% f54e90d4 1806

1986.02% 出现在普通命令里几乎肯定是异常——单进程超过 100% 表示它多线程用了多核，但 Discord 一般不该这样。如果看到 f54e90d4 这种 8 位随机名字的可执行文件，就是挖矿木马。

定位 PID 后用下面这套"五连"：

1
2
3
4
5


cat /proc/1806/cmdline # 命令行（已抹掉的看不到）
which f54e90d4 # 找不到说明不在 PATH
find / -name f54e90d4 2>/dev/null
ls -l /proc/1806/exe # 真实可执行路径
cat /proc/1806/status # 进程状态、内存、权限

pwdx 1806 找进程工作目录：

1
2


root@host:~# pwdx 1806
1806: No such process # 进程可能已经"自删"

No such process 是典型的"恶意进程"——它在被查询的瞬间就已经退出了，只留下 /proc 里的残骸。

三、场景 2：磁盘清理与排查

1
2
3
4
5
6


# 看各目录占用
du -h -x --max-depth=1 /

# ncdu 交互式
apt install ncdu
ncdu / --exclude /home --exclude /nfs

ncdu 快捷键：

键	作用
`n`	按文件名排序
`s`	按大小排序
`r`	重新计算
`g`	显示百分比
`q`	退出

四、场景 3：SSH 登录用户异常

1
2
3
4
5


# 查看当前在线用户
who

# 踢掉某个用户
pkill -9 -t pts/2

注意 pkill -9 -t pts/2 会强杀该终端所有进程，包括用户正在跑的服务。生产环境慎用，最好先 wall 警告。

/var/log/auth.log 异常增长是被 SSH 暴力破解的信号：

1
2
3
4
5
6
7
8


# Ubuntu
tail -f /var/log/auth.log

# CentOS
tail -f /var/log/secure

# 文件超过 1M 多半是被打了
du -h /var/log/auth.log

应对：

改 SSH 端口
关闭密码登录，只允许密钥
装 fail2ban 自动封禁
内网机器直接禁外网 SSH

五、场景 4：挖矿病毒应急 SOP

本节基于实际处置过的案例整理，所有"客户信息"已脱敏。

5.1 症状

top 看到 f54e90d4、ntools、kthrotlds 等奇怪名字
CPU 长期 100%，但业务进程正常
/etc/cron.d/ 下出现随机名字的文件

5.2 排查流程

1
2
3
4
5
6
7
8


# 1. 找隐藏进程
unhide proc

# 2. 看可疑 crontab
crontab -l
cd /etc/cron.d
ls -l
cat /etc/cron.d/<可疑文件>

示例输出：

1
2
3


root@host:/etc/cron.d# ls -l
-rw-r--r-- 1 root root 201 Jan 8 2022 e2scrub_all
-rw-r--r-- 1 root root 35 Dec 10 2011 F6tfV3LP

F6tfV3LP 这种随机 8 位字母几乎肯定是恶意 cron。e2scrub_all 是 ext 文件系统自带工具，不要删。

1
2
3
4


# 看内容
cat F6tfV3LP
# */1 * * * * root /bin/WbeGGvQK 1 1
# 每分钟执行一次 /bin/WbeGGvQK（已删除的可执行）

5.3 清理

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


# 1. 删二进制
rm -rf /bin/WbeGGvQK

# 2. 删 cron 文件
rm -rf /etc/cron.d/F6tfV3LP

# 3. 杀进程
pkill -9 -f WbeGGvQK
# 或按 PID
kill -9 <PID>

5.4 后续加固

改所有弱密码
关闭 SSH 密码登录
查 /etc/passwd 是否有可疑新用户
检查开机启动项：systemctl list-unit-files --state=enabled
重装系统（如果已经渗透很深）

经验上重装比清理快。挖矿病毒经常会留后门，清理成本远高于备份数据 → 重装 → 加固。

六、sysdig 进阶使用

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 查某个进程的系统调用
strace -p 1806

# 查网络连接最多的进程
sysdig -c topprocs_net

# 查写入文件最多的进程
sysdig -c topprocs_file

# 监听特定事件
sysdig evt.type=open and fd.name contains /tmp

更多 sysdig chisel（内置的分析命令）：

Chisel	用途
`topprocs_cpu`	CPU 占用 Top
`topprocs_net`	网络流量 Top
`topprocs_file`	读写文件 Top
`topfiles_bytes`	文件读写字节数 Top
`spy_users`	用户行为跟踪
`spy_ip`	IP 维度流量
`list_login_shells`	登录历史

七、SSH 日志监控

1
2
3
4
5


# Ubuntu
tail -f /var/log/auth.log

# CentOS
tail -f /var/log/secure

日志格式：

1

Jun 13 02:54 internal.example.com sshd[12345]: Accepted publickey for root from <攻击者IP> port <端口> ssh2

日志暴增多半是 SSH 暴力破解，可以装 fail2ban 自动封禁。

八、常见 5 个坑

unhide 报很多 Found HIDDEN：先看 Cmdline 和 Executable 两列，"<no link>" + (deleted) 才是真可疑；内核线程、kthreadd 的子进程是正常的。
pkill -9 -t pts/2 把自己踢下线：远程终端执行前确认 pts 号是自己的（who 第一行）。
crontab 里的"正常任务"删错：e2fsprogs 的 e2scrub_all 看起来像可疑脚本，是合法的——别删。
dd if=/dev/zero 把磁盘打满：of=/dev/null 不会写盘；of=/burn（不存在）会真的写满磁盘，小心。
入侵后只杀进程不清理 cron：挖矿病毒的核心是 cron 里的回连脚本，不删 cron 杀 100 次也会复活。

九、应急排查清单（建议收藏）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


[ ] top / htop 看 CPU
[ ] ps aux --sort=-%cpu | head
[ ] unhide proc 找隐藏进程
[ ] sysdig -c topprocs_cpu
[ ] who / w 查在线用户
[ ] cat /etc/passwd 查可疑账户
[ ] ls -l /etc/cron.d/ + cat 每个文件
[ ] crontab -l 查用户级定时任务
[ ] systemctl list-unit-files --state=enabled
[ ] last / lastb 查登录历史
[ ] /var/log/auth.log 查异常登录
[ ] iostat -d -x -k 1 查 IO
[ ] netstat -antp 查可疑连接
[ ] 备份数据后重装（最后手段）

十、总结

CPU 满先 top 看不见再 unhide，别忘了 sysdig 是终极武器。
挖矿病毒的根在 /etc/cron.d/ 随机名文件，不删 cron 杀 100 次也复活。
入侵后清理 = 找 → 杀 → 删 cron → 改密码 → 关密码登录 → 重装。
预防 > 应急：SSH 密钥 + fail2ban + 最小开放端口。

参考资料

JumpServer 堡垒机部署实战：资产访问、命令审计与录像回放

Tue, 14 May 2024 00:00:00 +0800

背景

传统运维痛点：

10 个运维各有自己的 SSH 私钥，离职交接痛苦
生产密码分散在 5 个 Excel 表，更新一台机器要改 5 处
操作无法回溯——出问题不知道谁 rm -rf 了数据库
越权操作——开发用 root 登录生产，误操作无法控制

堡垒机（Bastion Host） 解决以上所有问题：

统一入口：所有 SSH/RDP/Kubernetes 连接都从堡垒机走
凭证托管：密码/密钥存堡垒机，运维不直接知道生产密码
细粒度授权：A 运维只能访问 Web 机器，B 运维只能看 MySQL
全程录屏 + 命令审计：出问题能回放、追责

JumpServer（jumpserver.org）是国产开源堡垒机的事实标准：

2014 年由 FIT2CLOUD 发起
v3.x 用 Python/Django + Vue 重写
支持 SSH/RDP/Telnet/VNC/Kubernetes/MySQL/Redis/Git 等 20+ 协议
企业版（付费）有工单、资产自动发现、HA 等高级功能

适用场景：

中小企业统一生产入口
多云/混合云资产的集中访问
等保、ISO 27001 等合规审计
外包/临时人员的权限管控

前置知识：

Linux + Docker 基础
SSH/RDP 协议概念
RBAC 权限模型

一、核心架构与组件

JumpServer v3.x 是典型的多组件微服务架构：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22


 ┌──────────────┐
 │ Web 前端 │ ← Vue SPA
 │ (jms_web) │ :80
 └──────┬───────┘
 │
 ┌──────▼───────┐
 │ Core API │ ← Django + DRF
 │ (jms_core) │ :8080
 └──────┬───────┘
 │
 ┌──────────────┬───────────┼───────────┬──────────────┐
 │ │ │ │ │
 ┌────▼────┐ ┌─────▼────┐ ┌────▼────┐ ┌────▼─────┐ ┌────▼────┐
 │ Koko │ │ Lion │ │ Chen │ │ Magnus │ │ Kael │
 │ SSH代理 │ │ DB代理 │ │RDP/VNC │ │远程应用 │ │ 网关 │
 │ :2222 │ │ :33060 │ │:33070 │ │ 协议转换 │ │ │
 └─────────┘ └──────────┘ └─────────┘ └──────────┘ └─────────┘
 │
 ┌────▼────┐ ┌─────────┐
 │ MySQL │ │ Redis │
 │ :3306 │ │ :6379 │
 └─────────┘ └─────────┘

组件	作用	端口
Core	核心 API、用户/资产/权限管理	:8080
Koko	SSH 协议代理（取代旧 Lina）	:2222
Lion	MySQL/PostgreSQL/Redis/MongoDB 数据库代理	:33060
Chen	RDP/VNC 协议代理	:33070
Magnus	远程应用（RemoteApp）协议代理	—
Kael	Kubernetes API 代理	—
Web	静态资源服务	:80
MySQL	元数据	:3306
Redis	缓存、Celery broker	:6379

二、快速安装（一键脚本）

官方推荐用 quick_start.sh 集成安装：

1

curl -sSL https://resource.fit2cloud.com/jumpserver/jumpserver/releases/latest/download/quick_start.sh | bash

安装过程会交互询问：

是否配置 IPv6（默认 n）
自定义持久化目录（默认 /data/jumpserver，建议改到大盘）
是否使用外部 MySQL/Redis（先用内置的，迁集群时再分）
是否配置外部访问端口（默认即可）

安装完成后输出：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


>>> 加载 Docker 镜像
[jumpserver/core-ce:v3.10.9] pulling
[jumpserver/chen:v3.10.9] pulling
[jumpserver/redis:6.2] pulling
[jumpserver/mariadb:10.6] pulling
[jumpserver/kael:v3.10.9] pulling
[jumpserver/lion:v3.10.9] pulling
[jumpserver/koko:v3.10.9] pulling
[jumpserver/magnus:v3.10.9] pulling
[jumpserver/web:v3.10.9] pulling

>>> 安装配置 JumpServer
SECRETE_KEY: 8438fa2d36040662b3053b3d388d9813dacd193bc1b66066
BOOTSTRAP_TOKEN: 71NyJcmsMJTBYF4vpYL6z8i1

⚠️ SECRETE_KEY 和 BOOTSTRAP_TOKEN 一定保存好！多节点部署时所有节点必须用同样的两个值，否则节点无法加入集群。

三、初始化与登录

3.1 Web 访问

1

http://<jumpserver-ip>/

默认账号：

用户名：admin
密码：ChangeMe（首次登录强制修改）

3.2 接受 LICENSE

JumpServer 是 GPLv3 开源 + 商业 Enterprise 双协议。首次登录需要：

接受 GPLv3 协议
修改 admin 密码（至少 8 位，字母+数字+特殊字符）
设置 MFA（强烈建议开启 TOTP 或短信）

3.3 配置邮件 / 短信 / LDAP

系统设置 → 邮件设置：

1
2
3
4
5
6


SMTP 服务器：smtp.exmail.qq.com
SMTP 端口：465
SSL：启用
账号：noreply@example.com
密码：<授权码>
发件人：JumpServer <noreply@example.com>

LDAP 接入（对接公司 AD）：

1
2
3
4


服务器：ldap://ldap.internal.example.com
BASE DN：DC=example,DC=com
管理员 DN：CN=jumpserver,OU=Service,DC=example,DC=com
密码：<LDAP 服务账号密码>

SSO/OIDC 接入（对接 Keycloak、Authing）：

1
2


系统设置 → 认证设置 → OIDC
Client ID / Secret / Discovery URL

四、资产管理

4.1 创建资产树

按业务/环境/项目维度组织：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


├─ 研发中心
│ ├─ 开发环境
│ │ ├─ Web 集群
│ │ └─ 数据库集群
│ └─ 测试环境
├─ 运维部
│ ├─ 生产环境
│ │ ├─ 核心交易
│ │ ├─ 物流系统
│ │ └─ 数据仓库
│ └─ 灾备环境

4.2 添加资产（手动）

资产管理 → 资产列表 → 创建：

字段	填写	示例
主机名	`web-prod-01`	—
IP	`10.8.33.21`	内网 IP
协议组	`Linux` / `Windows`	Linux 走 SSH
端口	`22`	—
账号	`root`	平台账号（用 SSH 密钥）
平台	`Linux` / `CentOS`	自动探测 OS 类型
节点	`生产环境/Web 集群`	资产树位置

4.3 SSH 密钥推送

资产管理 → 平台账号 → 创建：

1
2
3
4


名称：root-sshkey
用户名：root
认证方式：SSH 密钥
私钥：粘贴 id_rsa 内容

JumpServer 首登会自动用密钥推送（前提是目标机器 root authorized_keys 已经加了 JumpServer 公钥），或者管理员手工 ssh-copy-id。

4.4 资产导入（Excel 批量）

资产管理 → 资产列表 → 导入 → 下载模板 → 填好上传。

适合几十/几百台机器的批量初始化。

4.5 自动发现

企业版支持：通过 Ansible/SaltStack 自动发现网段内的资产并入库。

五、用户与权限

5.1 三层权限模型

JumpServer 的权限抽象是教科书级的：

1
2
3
4
5


用户（User）
 ↓ 角色（Role）
 ↓ 资产（Asset）
 ↓ 账号（Account）
 ↓ 动作（Action）

用户：运维、开发、审计员、DBA
角色：研发组、运维组、SA 组
资产：前面资产树里的机器
账号：root、appuser、mysql
动作：连接、上传、下载、删除

5.2 创建用户

用户管理 → 用户列表 → 创建：

1
2
3
4
5


用户名：zhangsan
姓名：张三
邮箱：zhangsan@example.com
角色：研发组
MFA：TOTP

5.3 创建授权规则

权限管理 → 资产授权 → 创建：

1
2
3
4
5
6


名称：开发组授权 Web 集群
用户：研发组
资产：研发中心/开发环境/Web 集群（用节点选择）
账号：root（限制 root）
动作：所有
生效时间：2024-01-01 ~ 2025-12-31

用户登录后只能看到授权内的资产。

六、Web 终端实操

6.1 SSH 终端

工作台 → Web 终端 → SSH：

选资产（如 web-prod-01）
选账号（如 root）
进入 Web Terminal，全程录屏到 /data/jumpserver/core/data/media/

支持的快捷键：

Ctrl + Insert 复制
Shift + Insert 粘贴
Ctrl + L 清屏

6.2 RDP 远程桌面

工作台 → 远程桌面 → RDP：

选资产
选账号（Windows 管理员）
浏览器内直接打开远程桌面（基于 Apache Guacamole），无需装 mstsc
录屏同上

6.3 数据库

工作台 → 数据库 → MySQL：

选资产
选账号（如 root）
内置 phpMyAdmin / pgAdmin 风格查询界面
SQL 操作全部审计（可回放）

6.4 Kubernetes

企业版支持：通过 Kael 代理 kubectl/dashboard。

七、审计与回放

7.1 在线会话监控

审计台 → 在线会话：

管理员可以实时看任意用户的操作（“老大看着小弟干活”），必要时强制断开。

7.2 命令审计

审计台 → 命令记录：

每条命令都记录：

谁（用户）
在哪台机器（资产）
用什么账号
执行的命令
完整回放视频

7.3 文件传输审计

审计台 → 上传/下载：

通过 JumpServer 上下传的文件全部记录，可下载下来审计。

7.4 录屏回放

审计台 → 会话回放：

每条会话一个 .cast 文件（asciinema 格式），可在线播放、跳转到任意时间点。

7.5 危险命令拦截

系统设置 → 安全设置 → 命令过滤：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16


危险命令（拦截）：
rm -rf /
dd if=/dev/zero of=/dev/sda
mkfs
fdisk
shutdown
reboot
init 0
halt

告警命令（记录+告警）：
sudo
chmod 777
cat /etc/passwd
cat /etc/shadow
vi /etc/sudoers

用户执行危险命令时直接拒绝并记录。

八、高可用与生产部署

8.1 外部 MySQL + Redis

生产不用内置 MariaDB/Redis（容器化，单点）。

/opt/jumpserver/config/config.txt：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# MySQL
DB_HOST=mysql.internal.example.com
DB_PORT=3306
DB_USER=jumpserver
DB_PASSWORD=your_db_password
DB_NAME=jumpserver

# Redis
REDIS_HOST=redis.internal.example.com
REDIS_PORT=6379
REDIS_PASSWORD=your_redis_password

8.2 多节点集群

JumpServer 3.x 原生支持节点水平扩展：

1
2
3
4
5
6
7
8
9


 [HAProxy / Nginx]
 │
 ┌────────────┬─────┴─────┬────────────┐
 │ │ │ │
[Node 1] [Node 2] [Node 3] [Node N]
 │ │ │ │
 └────────────┴─────┬─────┴────────────┘
 │
 [外部 MySQL + Redis]

每个 Node 都跑完整组件（Core/Koko/Lion/Chen/Magnus/Kael），用 Nginx 分流到不同组件端口。

8.3 Koko SSH 端口高可用

Koko 的 2222 端口是 SSH 入口，必须用 HAProxy 或 LVS 漂移。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


# haproxy.cfg
frontend jumpserver-ssh
 bind *:2222
 mode tcp
 default_backend jumpserver-ssh-nodes

backend jumpserver-ssh-nodes
 mode tcp
 balance roundrobin
 server node1 10.8.33.21:2222 check
 server node2 10.8.33.22:2222 check
 server node3 10.8.33.23:2222 check

九、升级与备份

9.1 升级

1
2


cd /opt/jumpserver-installer-v3.x.x
./jmsctl.sh upgrade

升级前务必备份数据库。

9.2 备份

1
2
3
4
5
6
7
8


# 备份数据库
mysqldump -h <mysql-host> -u jumpserver -p jumpserver > jumpserver_$(date +%F).sql

# 备份持久化目录
tar -czf jumpserver_data_$(date +%F).tar.gz /data/jumpserver

# 备份配置
tar -czf jumpserver_config_$(date +%F).tar.gz /opt/jumpserver/config

9.3 卸载

1
2
3
4


cd /opt/jumpserver-installer-v3.x.x
./jmsctl.sh uninstall
rm -rf /opt/jumpserver*
rm -rf /data/jumpserver

十、常见坑

10.1 Koko 连接 SSH 慢

原因：Core 没配对外访问 IP，Koko 找不到 Core。

对策：

1
2


# /opt/jumpserver/config/config.txt
CORE_HOST=http://<jumpserver-public-ip>:8080

10.2 录屏文件过大

对策：

录屏保留期 30-90 天（系统设置 → 清理）
S3/OSS 归档老录屏

10.3 数据库连接拒绝

1
2
3


# 看 lion 容器日志
docker logs jms_lion
# 常见：MySQL 没授权 jumpserver 用户

10.4 RDP 连不上 Windows

检查：

Windows 开了远程桌面（系统属性 → 远程）
防火墙开了 3389
JumpServer 资产账号是 Administrator 组成员

小结

JumpServer 是国产堡垒机的事实标准：

一键部署：curl | bash 5 分钟起一个生产可用堡垒机
6 大组件（Core/Koko/Lion/Chen/Magnus/Kael）覆盖 SSH/RDP/DB/K8s
三层权限（用户/资产/动作）细粒度到命令级
全程录屏 + 命令审计，等保合规利器

生产部署三原则：

外部 MySQL/Redis，别用容器内置的
多节点 Koko HA，避免 SSH 入口单点
危险命令拦截，配白名单/黑名单

下一步：

企业版（付费）的工单、资产自动发现、HA
自建数据库代理 + 跳板机的"轻量堡垒机"（Teleport、Tailscale SSH）
与 SOC/SIEM 对接，命令审计入事件流

2024+ 视角：本文写于 2024-05，半年后 JumpServer v4 + AI 助手的"新王"

本文写于 2024-05-14——半年后（2024 年底到 2025 年中）JumpServer 生态又有几个大变化：

一、JumpServer v4.0+（2024-Q3 发布）

v4.0 重构：把 Core API、Worker、Client 拆得更彻底——支持 K8s 原生部署。
新组件：
- Client CLI（jmsctl）：命令行管理
- Celery 任务队列 拆分到独立 worker（支持横向扩展）
- SAML 2.0 / OIDC 增强（对接 Keycloak / Authing / Azure AD）
数据库支持：PostgreSQL 14+ / MySQL 8.0+ 强制要求。

1
2
3
4


# 2024-05 装的 v3.10.9
# 2024 年底 v4.0 升级
cd /opt/jumpserver-installer-v4.0.0
./jmsctl.sh upgrade

二、AI 助手的"零信任 SSH"

2024 LLM 革命让"AI 运维助手"成为新风口：
JumpServer 4.0 集成 AI Command Helper（基于 LLM 的命令辅助）：
- 自然语言转 shell 命令（“查昨天哪个用户改了 nginx 配置” → 自动生成查询命令）
- 危险命令的"软拦截 + AI 解释"（拦截 + 推荐安全写法）
OpenAI Function Calling / MCP 协议：让 LLM 直接调用 JumpServer API 做运维。

三、`Teleport` 的"现代竞争"

Teleport（gravitational/teleport，2024 是 v14+）：
- 基于 RBAC + 证书的零信任 SSH
- 审计全留痕 + 实时拦截
- 支持 K8s / Database / Web / Desktop 一站式
- 开源版也够用（Enterprise 版加 SSO、Device Trust）

1
2


# 装 Teleport
curl https://goteleport.com/static/install.sh | bash -s 14.0.0

2024 市场份额：JumpServer 仍是国内事实标准，Teleport 在外企 / 出海项目占主导。

四、Tailscale SSH + 零信任的"更轻方案"

2024 Tailscale SSH（基于 Tailscale WireGuard VPN）让"SSH 跳板机"变得不再必要：

1
2
3
4
5


# Tailscale 在每台机器
tailscale up
# 直接 SSH 任意机器（只要装了 Tailscale）
ssh user@node-name
# Tailscale 自动用 ACL 限制谁能连哪台

优势：
- 不用暴露 SSH 22 到公网
- 不用维护 JumpServer
- 零信任（每次 SSH 都要鉴权）
劣势：
- 不能录屏（这是 JumpServer 强项）
- 不能托管 SSH 密钥（需要靠 Tailscale ACL 鉴权）

五、K8s 时代的堡垒机新形态

2024 K8s 场景：“堡垒机"概念淡化，Service Mesh + OPA 接管：
- Teleport K8s 插件：直接代理 kubectl exec
- Cloudflare Tunnel + Access：通过 Zero Trust 鉴权
- Teleport / Boundary / Pomerium 都是"现代堡垒机”
JumpServer 也在跟进：2024 起支持 Kubernetes 资产（通过 Kael 组件代理 kubectl）。

六、数据库代理 + 凭证托管的"一体化"

2024 那篇提到 JumpServer 6 大组件。2024-05 视角下：

Lion 组件（DB 代理）已支持原生 SQL 审计（不只是录屏）。
凭证走 HashiCorp Vault 集成（2024 v3.10+ 支持）。
Redis 7+ 兼容（之前 6.x 时代有 bug）。
MongoDB 5.0+ 兼容。

1
2


# 集成 HashiCorp Vault
# 系统设置 → 凭证 Vault → Vault 地址 + Token

七、`X-Powered-By` 与合规

2024 等保 2.0（中国信息安全等级保护 2.0）已强制要求：
- 操作录屏（✅ JumpServer 满足）
- 命令审计（✅）
- 会话保存 6 个月（✅）
- 强 MFA（✅ TOTP/SMS/Email）
- 国密算法（SM2/SM3/SM4）—— JumpServer 4.0+ 支持
2024 SOC 2 / ISO 27001 国际合规（外企项目）：
- Teleport 在国际合规更全面
- JumpServer 国内合规更完整

八、AI 时代的"AI 运维代理"萌芽

2024 OpenAI / Anthropic 的 LLM 已能直接执行 SSH 命令：
2024-08 起出现的 Devin / AutoGPT / Claude Code 等 AI Agent，能：
- 自动 SSH 进服务器排查问题
- 自动写代码、自动部署
未来：JumpServer 可能要加 “AI 命令审核”——AI 生成命令先过安全模型检查，再执行。

源文档：os/linux/第三方tools/safe/jumpserver/jumpserver.md（46K 完整安装日志 + 配置实例）

Linux 安全：挖矿病毒清理、c3Pool 木马与 GVM 漏洞扫描实战

Mon, 15 Apr 2024 00:00:00 +0800

一、为什么是 2024 年这一份

2024 年这个时间点，Linux 主机安全进入"专业化"阶段：

挖矿病毒（xmrig / c3Pool / kinsing）仍是企业最常见的入侵后果
EDR 终端（Endpoint Detection and Response）成为云主机标配
OpenVAS 在 2017 改名 GVM（Greenbone Vulnerability Management），2024 已是 23.x
合规要求（等保 2.0、ISO 27001）要求定期漏洞扫描
xmrig 6.x 的对抗特征（chattr +i 防删）成为应急手册标配

这一篇覆盖挖矿病毒应急、c3Pool 木马清理、EDR 部署、GVM 漏洞扫描安装与升级、漏扫告警——一个"安全运营"工程师的实战手册。

阅读建议：本文是"应急 + 体系建设"双重性质——先应急（挖矿病毒清理），再体系（漏洞扫描）。

二、挖矿病毒应急：c3Pool 木马清理

2.1 现象与定位

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 1. top 找高 CPU 进程
top
# 看到 xmrig、kdevtmpfsi、.service 等非常规进程

# 2. 找进程 exe 路径
ls -l /proc/<pid>
# /proc/<pid>/exe -> /usr/local/lib/<挖矿二进制>

# 3. 看进程工作目录
ls -l /proc/<pid>/cwd
# 通常在 /tmp 或 /dev/shm 这种"隐蔽"位置

2.2 文件无法删除：`chattr +i`

挖矿木马常 chattr +i 锁住自己的二进制、SSH 公钥、cron 文件等，让 rm 删不掉。

1
2
3
4
5
6
7
8


# 查属性
lsattr 文件名

# 加锁（之后 rm 删不掉）
chattr -R +i ./test*

# 解除（运行完就能删）
chattr -R -i ./test*

2.3 c3Pool 矿池连接特征

c3Pool 是公开矿池（c3pool.com），挖矿木马的"标配"会连接 c3pool.com：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 1. 看进程网络连接
ss -tnp | grep <pid>
# 看是否有到矿池 IP 的 TCP 连接

# 2. 查 DNS 解析记录
cat /etc/resolv.conf
# 木马经常改 DNS 指向自建 DNS

# 3. 查 hosts
cat /etc/hosts
# 木马经常把 c3pool.com、pool.minexmr.com 指向 0.0.0.0

xmrig 配置：挖矿配置一般在 ~/.config/xmrig/config.json，里面能找到矿池地址、钱包地址、CPU 占用等。

2.4 完整清理流程

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48


# 1. 杀进程
ps -ef | grep xmrig | grep -v grep | awk '{print $2}' | xargs kill -9
pkill -9 xmrig

# 2. 解锁
find / -name "*.xmrig*" -exec chattr -i {} \;
find / -path "*/xmrig/*" -exec chattr -R -i {} \;
chattr -R -i /etc/cron.d/
chattr -R -i /etc/cron.daily/
chattr -R -i /var/spool/cron/

# 3. 删文件
rm -rf /usr/local/lib/xmrig
rm -rf /tmp/.xmrig
rm -rf /dev/shm/.xmrig

# 4. 清 cron
# 全局搜索定时任务
find / -name "cron*" -type d

# 看每个 cron 文件内容
for f in /var/spool/cron/* /etc/crontab /etc/cron.d/* /etc/cron.daily/* /etc/cron.hourly/* /etc/cron.monthly/* /etc/cron.weekly/*; do
 echo "=== $f ==="
 cat "$f" 2>/dev/null
done

# 找可疑条目（含 curl / wget / base64 / sh -c 的）
grep -rE "(curl|wget|base64|sh -c)" /var/spool/cron/ /etc/cron.d/ /etc/cron.daily/ /etc/cron.hourly/ 2>/dev/null

# 重启 crond
systemctl restart crond

# 5. 查 SSH 攻击者后门
# 看 authorized_keys
find / -name "authorized_keys" -ls 2>/dev/null
cat ~/.ssh/authorized_keys
# 找陌生的公钥

# 6. 查新增 sudo 用户
awk -F ":" '$3==0{print $1}' /etc/passwd

# 7. 改所有用户密码
passwd root
passwd <其他用户>

# 8. 查进程还在不在
top
ps -ef | grep -E "(xmrig|kdevtmpfsi|minerd)"

2.5 xmrig 自检配置

xmrig 官方有"配置向导"：https://xmrig.com/wizard

不要去生成实际挖矿配置——这个工具只是让你理解挖矿配置长什么样，方便在应急时识别。

三、EDR 终端部署

3.1 简介

EDR（Endpoint Detection and Response）通过 agent 收集主机行为日志，实时检测异常，是现代主机的"安全底座"。

3.2 命令行部署

1
2
3
4
5


wget --no-check-certificate https://<EDR管理平台IP>:4430/download_installer_linux.php \
 -O linux_edr_installer.tar.gz

tar -xzvf linux_edr_installer.tar.gz
./agent_installer.sh -c

端口：默认 4430。

3.3 下载器部署

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17


# 1. 把安装包拷贝到终端
scp linux_edr_installer.tar.gz root@<host>:/tmp/

# 2. 终端解压
cd /tmp
tar -xzvf linux_edr_installer.tar.gz

# 3. 安装
cd /tmp
./agent_installer.sh # 同目录有 manager_info.txt 时
# 或
./agent_installer.sh -f # 强制安装
./agent_installer.sh -h www.mgr.com # 自定义域名
./agent_installer.sh -h www.mgr.com -p 443 -d /root/edr/ -f # 完全自定义

# 4. 验证
./agent_installer.sh --help

1
2


# 4. agent 启动后会自动连接 EDR 管理中心
systemctl status edr-agent

四、OpenVAS / GVM 漏洞扫描

4.1 简介

OpenVAS（Open Vulnerability Assessment Scanner）2017 年改名 GVM（Greenbone Vulnerability Management），是开源漏洞扫描器的事实标准。

特点：

用户界面简单友好
内置测试库，每天更新
扫描目标设备的所有软件版本
匹配漏洞库后直接提示可能的漏洞

4.2 GVM 23.x 时代组件

gvmd —— Manager
gsad —— Web 前端（Greenbone Security Assistant）
openvas / ospd-openvas —— Scanner
notus —— 产品元数据
redis-server —— Scanner 缓存
PostgreSQL —— 元数据库
gvm-tools —— 命令行工具

4.3 安装（Debian/Ubuntu）

1
2
3


apt update
apt install gvm -y
# 依赖：greenbone-security-assistant gsad gvm-tools libmicrohttpd12t64

4.4 初始化

1
2
3
4
5
6
7
8
9


# 初始化（下载漏洞库，时间比较长）
gvm-setup

# 检查安装结果
gvm-check-setup
# 如果检测失败按提示执行修复命令

# GVM 的 Redis 不是开机启动
systemctl enable redis-server@openvas.service

4.5 升级漏洞库

1
2
3
4
5
6
7


# 旧命令（已废弃）
gvm-feed-update
# > This script is now deprecated
# > Please use 'sudo greenbone-feed-sync' instead

# 新命令
sudo greenbone-feed-sync

4.6 启动

1
2


gvm-start
# > GVM services are already running

4.7 修改 admin 密码

1
2
3
4
5
6
7


# 改密码为自定义值
runuser -u _gvm -- gvmd --user=admin --new-password='<your-password>'

# 第一次安装时会有初始化密码输出
# [+] Done
# [*] Please note the password for the admin user
# [*] User created with password '...uuid...'

4.8 创建新用户

1
2


# admin 填要创建的用户名，最后的 password 填密码
runuser -u _gvm -- gvmd --create-user=<username> --new-password='<password>'

4.9 修改 Web UI 监听地址

默认 gsad 只监听 127.0.0.1:9392，要对外暴露：

1
2
3
4
5
6
7
8
9


vim /usr/lib/systemd/system/gsad.service

# 把
# ExecStart=/usr/local/sbin/gsad --foreground --listen=127.0.0.1 --port=9392
# 改为
ExecStart=/usr/local/sbin/gsad --foreground --listen=0.0.0.0 --port=443

sudo systemctl daemon-reload
sudo systemctl restart gsad

4.10 查日志

1

tail -f /var/log/gvm/gvmd.log

4.11 典型 `gvm-check-setup` 输出（23.11）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17


gvm-check-setup 23.11.0
 Test completeness and readiness of GVM-23.11.0
Step 1: Checking OpenVAS (Scanner)...
 OK: OpenVAS Scanner is present in version 23.0.1.
 OK: Notus Scanner is present in version 22.6.3.
 OK: Server CA Certificate is present.
 OK: redis-server is present.
 OK: scanner (db_address setting) is configured properly.
 OK: _gvm owns all files in /lib/openvas/plugins.
 OK: NVT collection contains 91760 NVTs.
 OK: The notus directory contains 464 NVTs.
Step 2: Checking GVMD Manager ...
 OK: GVM Manager (gvmd) is present in version 23.5.2.
Step 3: Checking Certificates ...
 OK: GVM client certificate is valid.
 OK: Your GVM certificate infrastructure passed validation.
Step 4: Checking data ...

关键指标：91760 NVTs（漏洞特征库）、464 notus NVTs（产品元数据）是 2024 时代正常范围。GVM 23.5.2 是 2024 上半年的版本。

五、漏扫告警体系建设

5.1 关键指标

指标	含义
CVSS 评分	通用漏洞评分系统，0-10 越高越严重
高危 / 中危 / 低危	业务常用的粗粒度分类
CVE 编号	公开漏洞编号
影响资产	漏洞影响的具体资产范围

5.2 集成方式

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


# 方式一：GVM 自带的 Web UI
# 浏览器访问 https://<gvm-host>:443
# 登录后：Configuration → Targets → New Target

# 方式二：Python gvm-tools
pip install gvm-tools
gvm-cli --gmp-username admin --gmp-password <password> \
 tls --hostname <gvm-host> --port 443 \
 --xml '<get_tasks/>'

# 方式三：REST API（gmp 22.4+）
# 见 https://greenbone.github.io/docs/

5.3 与企业 SIEM 集成

把 GVM 扫描结果导入 SIEM（Splunk / ELK / QRadar）：

1
2
3
4
5


# 1. GVM 导出 CSV
# Web UI → Reports → Export → CSV

# 2. 用 logstash / filebeat 采集
# 3. 用 SPL / DSL 写告警规则

六、安全基线检查清单（2024 等保 2.0 视角）

检查项	命令 / 工具
操作系统补丁	`uname -r` 比对最新安全公告
特权账号	`awk -F":" '$3==0{print $1}' /etc/passwd`
弱口令	`john --wordlist=pass.txt /etc/shadow`（破解测试）
SSH 安全	`sshd -T
防火墙	`iptables -L -n` / `ufw status`
入侵检测	AIDE / Tripwire / OSSEC
病毒查杀	chkrootkit / rkhunter / clamav
漏洞扫描	GVM / Nessus / Qualys
终端 EDR	部署 EDR agent
日志审计	auditd / rsyslog → SIEM
备份	至少 3-2-1 策略

七、前置知识 / 下一步

想看 chkrootkit / rkhunter / clamav 详细用法 → 翻独立文章
想看 SIEM 集成（ELK / Loki）→ 翻独立文章
想看 GVM 高级配置（任务、报告、调度）→ 翻独立文章
想看 AIDE / Tripwire 主机入侵检测 → 翻独立文章
想看 SELinux / AppArmor 强制访问控制 → 翻独立文章

八、参考资源

GVM 官方文档：https://greenbone.github.io/docs/
Greenbone 社区版（Greenbone CE）：https://greenbone.github.io/docs/greenbone-ce-22.04/
xmrig 官方（仅作识别参考）：https://xmrig.com/wizard
挖矿木马家族（360 报告）：https://www.360.cn/n/11701.html
国家信息安全漏洞库（CNNVD）：http://www.cnnvd.org.cn/
国家信息安全漏洞共享平台（CNVD）：https://www.cnvd.org.cn/
CVE 官方：https://cve.mitre.org/
NVD：https://nvd.nist.gov/
MITRE ATT&CK：https://attack.mitre.org/

OpenVAS/GVM 漏洞扫描：从原生安装到 Docker 化部署

Sat, 15 Apr 2023 00:00:00 +0800

一、为什么 2023 年要聊 OpenVAS / GVM

OpenVAS（Open Vulnerability Assessment Scanner）是开源界最老牌的网络漏洞扫描器之一，2017 年改名 GVM（Greenbone Vulnerability Management），由 Greenbone 维护。GVM 21.4+ 开始把组件名从 openvas 改成 gvm，但核心扫描引擎还是 OpenVAS。

2022-04 发布的 GVM 22.4 是当前主流生产版本——本篇示例基于这个版本。gvm-check-setup 跑出来的就是：

1

It seems like your GVM-23.11.0 installation is OK.

本文写于 2023-04-15。示例基于 GVM 22.04（Ubuntu 22.04 LTS）+ 9 万+ NVT 漏洞库。Greenbone 在 2023-2024 年陆续把 gvm-setup 改造成 greenbone-feed-sync，新版本会越来越 Docker 化。

二、GVM 是什么、能做什么

核心能力：

漏洞扫描：扫描目标主机的开放端口、运行服务、CVE 漏洞，9 万+ NVT（Network Vulnerability Tests）覆盖
合规检查：PCI DSS、HIPAA、CIS 等基线
CVE 库自动更新：默认每天从 Greenbone 社区 feed 同步

典型使用场景：

内部网络定期漏扫（季度/半年）
重要业务上线前的安全验收
等保 2.0 二级 / 三级测评的漏洞证据
攻防演练 / 红蓝对抗的攻击面梳理

架构（多个 daemon 协作）：

组件	作用
`gvmd`	主管理进程，API 服务
`gsad`	Web UI（Greenbone Security Assistant）
`openvas-scanner` / `ospd-openvas`	实际扫描引擎
`pg-gvm`	PostgreSQL 后端
`redis-server`	任务队列
`notus-scanner`	轻量存活/服务检测

三、方式一：apt 一键安装（Ubuntu 22.04）

3.1 装 GVM 包

1
2
3


sudo apt update
sudo apt install gvm -y
# 依赖：greenbone-security-assistant gsad gvm-tools libmicrohttpd12t64

3.2 初始化

1
2


sudo gvm-setup
# 初始化要下载漏洞库，时间 30-90 分钟（看带宽）

初始化成功后会输出默认 admin 密码（一串 UUID）：

1

[*] User created with password '3ffd4efb-d181-4201-ae4d-5126584f5461'.

一定要记下来，或者立即改密：

1

sudo runuser -u _gvm -- gvmd --user=admin --new-password=123456

3.3 检查

1

sudo gvm-check-setup

如果中途某一步失败，按提示执行修复命令。最常见的失败是 redis-server 没启动：

1

sudo systemctl enable --now redis-server@openvas.service

3.4 同步漏洞库

1
2
3


sudo gvm-feed-update
# 较新的 GVM 版本会提示用：
# sudo greenbone-feed-sync

gvm-feed-update 已 deprecated，新版本 GVM（22.4+）推荐 greenbone-feed-sync。

3.5 启停

1
2


sudo gvm-start # 启动
sudo gvm-stop # 停止

检查 GVM 服务状态：
1
systemctl status ospd-openvas gvmd gsad

3.6 改 Web UI 监听地址

默认只监听 127.0.0.1:9392，远程访问需要改 0.0.0.0:443：

1
2
3
4
5


sudo systemctl edit gsad.service
# 写入：
# [Service]
# ExecStart=
# ExecStart=/usr/local/sbin/gsad --foreground --listen=0.0.0.0 --port=443

或直接改 service 文件：

1
2
3
4
5
6


sudo vi /usr/lib/systemd/system/gsad.service
# -ExecStart=/usr/local/sbin/gsad --foreground --listen=127.0.0.1 --port=9392
# +ExecStart=/usr/local/sbin/gsad --foreground --listen=0.0.0.0 --port=443

sudo systemctl daemon-reload
sudo systemctl restart gsad

3.7 加新用户

1

sudo runuser -u _gvm -- gvmd --create-user=<新用户名> --new-password=<密码>

3.8 日志

1

sudo tail -f /var/log/gvm/gvmd.log

四、方式二：docker-compose 集群化部署

生产环境强烈推荐 Docker 部署——方便升级、数据持久化、跟其他服务（反向代理、监控）集成。

4.1 拉取 yml 和镜像

1
2
3
4
5
6


# 拉 docker-compose.yml（22.4 官方）
curl -f -L https://greenbone.github.io/docs/latest/_static/docker-compose-22.4.yml \
 -o docker-compose.yml

# 拉镜像（约 3GB）
docker-compose -f docker-compose.yml -p greenbone-community-edition pull

镜像清单（约 18 个容器）：

镜像	用途
`greenbone/scap-data`	SCAP 数据
`greenbone/vulnerability-tests`	NVT 漏洞测试
`greenbone/data-objects`	数据对象
`greenbone/report-formats`	报告格式
`greenbone/notus-data`	notus 漏洞数据
`greenbone/cert-bund-data`	CERT-Bund 漏洞
`greenbone/dfn-cert-data`	DFN-CERT 漏洞
`greenbone/redis-server`	任务队列
`greenbone/pg-gvm`	PostgreSQL 后端
`greenbone/gvmd`	主管理
`greenbone/gsa`	Web UI
`greenbone/ospd-openvas`	扫描引擎
`greenbone/openvas-scanner`	扫描 daemon
`greenbone/gvm-tools`	命令行工具
`greenbone/gpg-data`	GPG 签名

4.2 启动

1

docker-compose -f docker-compose.yml -p greenbone-community-edition up -d

第一次启动要等所有 feed 同步（5-30 分钟），看日志：

1

docker-compose -f docker-compose.yml -p greenbone-community-edition logs -f

4.3 Web UI 访问

默认 https://localhost:9392（docker-compose yml 里绑定了 127.0.0.1:9392:80）。

默认 admin 密码：admin——第一次登录必须立即改密：

1
2


docker-compose -f docker-compose.yml -p greenbone-community-edition \
 exec -u gvmd gvmd gvmd --user=admin --new-password=123456

4.4 改远程访问

docker-compose.yml 里：

1
2
3
4
5
6


services:
 gsa:
 ports:
 - 9392:80 # 改成 0.0.0.0:9392:80
 # 或者
 - 443:80 # 标准 HTTPS 端口

坑提醒：把 9392 直接暴露到公网极不安全——GVM 有 RCE 历史漏洞。必须走 Nginx 反代 + Basic Auth + IP 白名单。

4.5 删除环境（危险操作）

1
2


docker-compose -f docker-compose.yml -p greenbone-community-edition down -v
# -v 会删所有 volume，漏洞库、扫描结果、用户数据全清

五、gvm-check-setup 详解

跑完 gvm-setup / docker 启动后，建议跑一次：

1

sudo gvm-check-setup

典型输出（成功）：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17


gvm-check-setup 23.11.0
 Test completeness and readiness of GVM-23.11.0
Step 1: Checking OpenVAS (Scanner)...
 OK: OpenVAS Scanner is present in version 23.0.1.
 OK: Notus Scanner is present in version 22.6.3.
 OK: Server CA Certificate is present as /var/lib/gvm/CA/servercert.pem.
 OK: _gvm owns all files in /var/lib/openvas/gnupg
 OK: redis-server is present.
 OK: scanner (db_address setting) is configured properly using the redis-server socket
 OK: the mqtt_server_uri is defined in /etc/openvas/openvas.conf
 OK: _gvm owns all files in /var/lib/openvas/plugins
 OK: NVT collection in /var/lib/openvas/plugins contains 91760 NVTs.
 OK: The notus directory /var/lib/notus/products contains 464 NVTs.
Step 2: Checking GVMD Manager ...
 OK: GVM Manager (gvmd) is present in version 23.5.2.
...
It seems like your GVM-23.11.0 installation is OK.

NVT 数量是核心指标——9 万+ 才算健康，低于 5 万说明漏洞库同步失败。

六、典型任务：扫描一个网段

Configuration → Targets → New Target
- Name: 内网服务器网段
- Hosts: 192.168.1.0/24
- Port List: All IANA Assigned TCP and UDP
- Alive Test: Consider Alive
Configuration → Scan Configs → 选一个基线
- Full and fast：常用
- Base：快，弱扫
Scans → Tasks → New Task
- Name: 季度漏扫-2023Q2
- Target: 内网服务器网段
- Scanner: OpenVAS Default
- Scan Config: Full and fast
Save → Start
扫描结果：Dashboard / Reports

坑提醒：

第一次跑完整扫描很慢（24-48 小时，9 万 NVT × 254 个 IP）

大规模扫描分批做，避免被目标网络的 IDS/IPS 拉黑

重要业务先打招呼再扫——避免触发告警 / 业务中断

七、生产环境建议

7.1 走 Nginx 反代

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22


server {
 listen 443 ssl;
 server_name gvm.example.com;

 ssl_certificate /etc/letsencrypt/live/gvm.example.com/fullchain.pem;
 ssl_certificate_key /etc/letsencrypt/live/gvm.example.com/privkey.pem;

 # Basic Auth 二层密码
 auth_basic "GVM Admin";
 auth_basic_user_file /etc/nginx/.htpasswd;

 # IP 白名单
 allow 10.0.0.0/8;
 allow 192.168.0.0/16;
 deny all;

 location / {
 proxy_pass http://127.0.0.1:9392;
 proxy_set_header Host $host;
 proxy_set_header X-Real-IP $remote_addr;
 }
}

7.2 走 LDAP/AD 集成

GVM 支持 LDAP 认证（22.4+），企业内网可对接 AD。

7.3 漏洞库同步策略

1
2
3


# 每天凌晨同步
crontab -e
0 3 * * * /usr/bin/greenbone-feed-sync

7.4 备份

apt 方式：备份 /var/lib/gvm/ /var/lib/openvas/ /etc/gvm/
docker 方式：备份所有命名 volume（docker volume ls）

八、典型坑速查

现象	原因	处理
`gvm-check-setup` Step 1 失败 NVT 数量 < 5 万	漏洞库没同步完	重跑 `greenbone-feed-sync`
9392 端口访问不到	默认只监听 127.0.0.1	改 `gsad.service` 监听 0.0.0.0
扫描任务卡在 “Requested”	扫描引擎没启动	`systemctl start ospd-openvas`
忘记 admin 默认密码	UUID 在 `gvm-setup` 输出里	`runuser -u _gvm -- gvmd --user=admin --new-password=...`
扫描器报 “Host not alive”	目标屏蔽 ICMP	关掉 Alive Test 或改用 TCP ping
漏洞库同步巨慢	没配代理	配 `greenbone-feed-sync` 走 `HTTPS_PROXY` 环境变量

九、2024+ 视角补充

本文写于 2023-04，2024-2026 期间 GVM / OpenVAS 关键演进：

GVM 23.x / 24.x（2024-2025）：notus-scanner 重写（Rust 重写后性能 5x）；ospd-openvas 升级；GSA Web UI 全面重构（React 18 + TypeScript）；PG 后端 PostgreSQL 15+
Greenbone Community Edition (GCE) 23.04+：每月发版（vs 老版本季度发版）；greenbone-feed-sync 替代老的 gvm-feed-update（已 2024 全面 EOL）
Greenbone Enterprise Appliance (GEA)：商业版 2024 强化 SaaS 化部署（cloud.greenbone.net），不再需要本地硬件
NVT 漏洞库 2024-2026：9 万+ → 11 万+ NVT（漏洞库持续增长）；每天同步 Greenbone Community Feed
漏洞扫描生态（2024+ 视角）：
- Nuclei 3.x（2024-2026）：ProjectDiscovery 出品——YAML 模板定义扫描，社区模板市场（5000+ 模板），云原生漏洞扫描首选
- Trivy 0.50+（2024-2025）：容器 / IaC / 镜像 / 文件系统 一站式扫描，K8s 集成完善
- Snyk / Aikido（2024）：AI 辅助漏洞评估（判断是否真影响项目）
- Tenable Nessus 10.7+（2025）：AI 漏洞优先级排序；云 connector（AWS / Azure / GCP）
- Qualys VMDR 4.x（2024）：云原生扫描；资产清单 / 风险评分
AI 驱动的漏洞扫描（2024+ 趋势）：用 LLM 做漏洞优先级排序（“哪些漏洞该先修”）——传统按 CVSS 排不科学，AI 结合业务上下文判断更准
合规基线（2024+ 视角）：CIS Benchmarks v8.0、NIST 800-53 Rev 5、等保 2.0 三级——GVM 内置基线持续更新

实战建议（2025-2026 视角）：

传统漏洞扫描 → GVM 24.x Community Edition（仍是开源首选）
容器 / 云原生 → Trivy + Nuclei 黄金组合
企业 / 合规 → Tenable Nessus Pro / Qualys VMDR（商业付费）
AI 辅助 → Snyk / Aikido（2024+ 趋势，AI 优先级排序）
免费 / 个人 → Trivy + Nuclei（开源 + 模板市场）

十、下一步

想要更现代化的漏洞管理 → 上 Greenbone Enterprise（商业版）/ Tenable Nessus（闭源老大）/ Qualys VMDR
想做基线合规扫描 → GVM 内置 CIS / PCI DSS Level 1 基线
想做大规模分布式扫描 → Greenbone Enterprise Appliance 多节点集群
想做自定义漏洞检测 → 写 NASL（NVT 脚本语言）
想要容器 / 云原生漏洞扫描 → Trivy + Nuclei 黄金组合

参考资料

Linux 开发环境搭建：JDK 8 / Maven 3.9 / NVM 与 Node 多版本管理

Fri, 30 Dec 2022 00:00:00 +0800

一、为什么是 2022 年这一份

2022 年这个时间点，Linux 后端/前端开发环境进入"标准化"阶段：

JDK 8 仍是企业主流（Spring Boot 2.x、Solr、大数据生态全靠它）
JDK 17 在 2021-09 发布后逐步成新项目首选
Maven 3.9（2023-01 发布）已经稳定，3.8 系列成为过去
NVM 0.39.x（2021-2022 系列）稳定，Node 14/16/18 三版本并行
npm 镜像 经历 npm.taobao.org → npmmirror.com 的迁移（2022-05）
systemd 全面接管 Java 服务启动

这一篇覆盖 JDK 8 / Maven / NVM 三大主力工具的安装、镜像、版本管理、与 systemd 集成——后端/前端开发者的"装机手册"。

阅读建议：本文是"工具栈"性质——按"装什么 → 配什么 → 用什么"组织。

二、JDK 8 安装（2022 仍主流）

2.1 下载与解压

1
2
3
4
5
6
7


# 下载 jdk-8u371-linux-x64.tar.gz
cd /usr/local
mkdir jdk
cd jdk
tar -xf jdk-8u371-linux-x64.tar.gz

# 解压到 /usr/local/jdk/jdk1.8.0_371

关于 8u371：Oracle JDK 8u371 是 2023-04 发布的。如果坚持 2022 时间线，可以选 8u341（2022-04）或 8u351（2022-10）。

2.2 环境变量

1

vim /etc/profile

1
2
3


export JAVA_HOME=/usr/local/jdk/jdk1.8.0_371
export CLASSPATH=$JAVA_HOME/bin:$JAVA_HOME/lib:$JAVA_HOME/jre/lib
export PATH=.:$JAVA_HOME/bin:$JAVA_HOME/jre/bin:$PATH

1

source /etc/profile

2.3 验证

1
2
3
4


java -version
# java version "1.8.0_371"
# Java(TM) SE Runtime Environment (build 1.8.0_371-b11)
# Java HotSpot(TM) 64-Bit Server VM (build 25.371-b11, mixed mode)

三、Maven 3.9 安装

3.1 下载与解压

1
2
3
4
5
6
7
8


cd /usr/local/maven

# 3.9.2（2023-01 发布的 3.9.2 仍是很多 CI 的稳定选择）
wget https://archive.apache.org/dist/maven/maven-3/3.9.2/binaries/apache-maven-3.9.2-bin.tar.gz
tar -xf apache-maven-3.9.2-bin.tar.gz

# 改名
mv apache-maven-3.9.2 apache-maven-3.9.2

3.2 更换 settings.xml

把默认的 conf/settings.xml 替换成公司/个人定制的（国内镜像、代理、私服等）。

1
2
3
4
5
6


# 备份
cp /usr/local/maven/apache-maven-3.9.2/conf/settings.xml \
 /usr/local/maven/apache-maven-3.9.2/conf/settings.xml.bak

# 替换
vim /usr/local/maven/apache-maven-3.9.2/conf/settings.xml

3.3 环境变量

1

vim /etc/profile

1
2


export MAVEN_HOME=/usr/local/maven/apache-maven-3.9.2
export PATH=$MAVEN_HOME/bin:$PATH

1

source /etc/profile

3.4 验证

1
2
3
4
5
6


mvn -v
# Apache Maven 3.9.2 (21122926829f1ead511c958d89bd2f672198ae9f)
# Maven home: /usr/local/maven/apache-maven-3.9.2
# Java version: 1.8.0_371, vendor: Oracle Corporation, runtime: /usr/local/jdk/jdk1.8.0_371/jre
# Default locale: en_US, platform encoding: UTF-8
# OS name: "linux", version: "5.19.0-46-generic", arch: "amd64", family: "linux"

四、NVM 装 Node 多版本

4.1 下载 NVM 0.39.3

1

wget https://github.com/nvm-sh/nvm/archive/refs/tags/v0.39.3.tar.gz

4.2 安装

1
2
3
4


cd ~
mkdir .nvm
tar -zxvf v0.39.3.tar.gz --strip-components 1 -C /root/.nvm
rm -rf v0.39.3.tar.gz

4.3 环境变量

1

vim /etc/profile

1
2
3
4


export NVM_BIN="/root/.nvm/versions/node"
export NVM_DIR="/root/.nvm"
[ -s "$NVM_DIR/nvm.sh" ] && \. "$NVM_DIR/nvm.sh" # This loads nvm
[ -s "$NVM_DIR/bash_completion" ] && \. "$NVM_DIR/bash_completion" # This loads nvm bash_completion

1
2
3
4


source /etc/profile
source ~/.zshrc

nvm --version

4.4 设置镜像

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


# Windows
nvm node_mirror https://npm.taobao.org/mirrors/node/
nvm npm_mirror https://npm.taobao.org/mirrors/npm/

# 2023-07-19 之后：原 taobao.org 改为 npmmirror.com
nvm node_mirror https://npmmirror.com/mirrors/node/
nvm npm_mirror https://npmmirror.com/mirrors/npm/

# Linux 改环境变量
vim /etc/profile
export NVM_NODEJS_ORG_MIRROR=https://npm.taobao.org/mirrors/node/

# 测试
curl $NVM_NODEJS_ORG_MIRROR

关于 npm 镜像迁移：2022-05-31 之后 npm.taobao.org 域名失效，全部迁移到 npmmirror.com。新项目必须用新域名。

4.5 装 Node 14

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15


# 查可用版本
nvm ls-remote

# 装 Node 14.21.3
nvm install v14.21.3

# 验证
whereis node
# node: /root/.nvm/versions/node/v14.21.3/bin/node

node -v
# v14.21.3

npm -v
# 6.14.18

4.6 多版本共存

1
2
3
4
5
6
7
8
9


# 装第二个版本
nvm install v14.17.3

# 切换
nvm use v14.21.3

# 把 nvm 整体迁移到数据盘
mv /root/.nvm /data/jenkins/
# 改 NVM_DIR 路径

4.7 npm 镜像与 yarn

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18


# 设 sass 镜像
npm config set sass_binary_site=https://npm.taobao.org/mirrors/node-sass

# 设 registry 镜像
npm config set registry https://registry.npmmirror.com

# 装 nrm（registry 切换器）
npm install -g nrm
nrm ls
nrm use taobao

# 装 yarn
npm i -g yarn
yarn -v
# 1.22.19

# 临时使用镜像
SASS_BINARY_SITE=https://npm.taobao.org/mirrors/node-sass npm install node-sass

五、zsh 下 Node 多版本切换

1
2
3
4


vim ~/.zshrc

export NODE_HOME=/data/jenkins/.nvm/versions/node/v14.17.3
export PATH=$NODE_HOME/bin:$PATH

六、Jenkins 跑前端项目

1
2
3
4
5
6
7
8
9


killall -9 node_modules || true
source /etc/profile
cd /home/docker/jenkins/workspace/safe-frontend-dev
rm -rf node_modules
npm config set sass_binary_site=https://npm.taobao.org/mirrors/node-sass
npm config set registry https://registry.npm.taobao.org/
npm -g i yarn
yarn
nohup yarn run serve > /dev/null 2>&1 &

七、用 systemd 启动 Java 微服务

7.1 准备启动脚本

1
2


# 写微服务启动脚本
vim /home/project/safety/sh/gateway.sh

1
2
3
4
5
6
7


#!/bin/bash
# gateway.sh 示例
export JAVA_HOME=/usr/local/jdk/jdk1.8.0_371
export PATH=$JAVA_HOME/bin:$PATH

cd /home/project/safety
java -jar gateway.jar --spring.profiles.active=prod

1

chmod +x /home/project/safety/sh/gateway.sh

7.2 写 service 文件

1

vim /etc/systemd/system/gateway.service

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15


[Unit]
Description=Gateway Service
After=network.target

[Service]
Type=simple
User=root
ExecStart=/home/project/safety/sh/gateway.sh
Restart=always
RestartSec=10
StandardOutput=journal
StandardError=journal

[Install]
WantedBy=multi-user.target

7.3 启动与管理

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19


systemctl daemon-reload

# 启动
systemctl start gateway

# 开机启动
systemctl enable gateway

# 状态
systemctl status gateway

# 停止
systemctl stop gateway

# 失败重置
systemctl reset-failed gateway

# 卸载
rm -rf /etc/systemd/system/gateway.service

八、Java 反代启动命令

1
2
3
4
5


# 远程调试
java -agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=5003 \
 -Xverify:none \
 -cp /jar/xjrsoft-base/lib/*:/jar/xjrsoft-base/config \
 com.xjrsoft.BaseApplication

关于 jdwp 端口：调试端口要开放给开发机，不能开放在公网。生产环境记得移除 jdwp 参数。

九、envsubst 模板化配置

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27


# 模板 t.yaml
cat << "EOF" > t.yaml
systeminfo:
 OS: $OS
 user: $USER
 home: $HOME
 args:
 [
 "$args"
 ]
EOF

# 脚本 t.sh
cat << "EOF" > t.sh
#!/usr/bin/env bash
export OS=$(uname -s)
export args="/wait.sh 10.8.33.127:8848 -t 0"
ports=(100 200 300)
nodePort=30000
for p in ${ports[*]}; do
 nodePort=$[$nodePort+1]
 sed -i "8a \ - name: port$p\n port: $p\n targetPort: $p\n nodePort: $nodePort" t.yaml
done
envsubst < t.yaml > t1.yaml
EOF

bash t.sh

场景：用一份模板 + 环境变量生成 K8s manifest / docker-compose / nginx 配置。

十、前置知识 / 下一步

想看 JDK 17/21 新特性 → 翻本系列《JDK 升级与新特性》
想看 Maven 私服（Nexus / Artifactory）→ 翻本系列《Maven 私服搭建》
想看 Node 微前端构建优化 → 翻独立文章
想看 systemd 高级用法（target、socket 激活）→ 翻本系列《Linux 监控与系统性能工具》

十一、参考资源

Oracle JDK 8u 文档：https://docs.oracle.com/javase/8/docs/
Apache Maven 文档：https://maven.apache.org/
NVM GitHub：https://github.com/nvm-sh/nvm
Node.js 发布历史：https://nodejs.org/en/about/previous-releases
npmmirror：https://npmmirror.com/
systemd.service 文档：https://www.freedesktop.org/software/systemd/man/systemd.service.html

2024 视角：JDK 21 LTS 已经发布，Node 20/22 时代来了

2022 年写的那套"JDK 8 + Maven 3.9 + NVM + Node 14"在 2024 仍然可用，但新项目已经普遍升级。

一、JDK：JDK 17 已是新项目主流，JDK 21 LTS 已发布

JDK 21 LTS（2023-09 发布）是 2024 新项目首选——虚拟线程（Virtual Threads）正式 GA：

1
2
3
4
5
6
7
8
9


// 虚拟线程写法（替代传统 Thread / ExecutorService）
try (var executor = Executors.newVirtualThreadPerTaskExecutor()) {
 IntStream.range(0, 10_000).forEach(i -> {
 executor.submit(() -> {
 Thread.sleep(Duration.ofSeconds(1));
 return i;
 });
 });
}

JDK 17 LTS（2021-09 发布）仍是 2024 大量"半新"项目的目标版本。
JDK 8（2014）已 2022-03 进入"个人免费但商业收费"模式（Oracle），2024 新项目不应该用 Oracle JDK 8——改用：
- Adoptium Eclipse Temurin 8（免费、长期维护）
- Amazon Corretto 8（AWS 维护）
- Alibaba Dragonwell 8（国内阿里维护，对 JVM 调优有特化）

装新版：

1
2
3
4
5


# Adoptium Temurin 21 (推荐)
apt install -y wget gnupg
wget -qO - https://packages.adoptium.net/artifactory/api/gpg/key/public | gpg --dearmor -o /usr/share/keyrings/adoptium.gpg
echo "deb [signed-by=/usr/share/keyrings/adoptium.gpg] https://packages.adoptium.net/artifactory/deb $(lsb_release -sc) main" > /etc/apt/sources.list.d/adoptium.list
apt update && apt install -y temurin-21-jdk

二、Maven 3.9 仍主流，但 Gradle 在 K8s / 云原生时代更受宠

Maven 3.9.6（2024-02 发布）是 2024 的稳定版，mvn -v 默认输出包含 Java version: 21.x。
Gradle 8.x（2023-10 起）支持 Java 21 + Kotlin 2.0，新项目可以选 Gradle。
Bazel（Google）和 Pants（Twitter）是更大规模 monorepo 项目的选择，但 2024 仍小众。

三、Node 20 LTS / 22 LTS 时代

Node 18（2022 LTS）2025-04 EOL，Node 20 LTS（2023-04）是 2024 主流，Node 22 LTS（2024-10 发布）开始被新项目采用。
NVM 0.39.7+ 仍是主流（但 2024 出现了 fnm 替代品，用 Rust 写、速度快 10 倍）。
Node 22 内置 --experimental-strip-types（原生运行 TypeScript，无需 ts-node 编译）。

1
2
3
4
5


# 2024 推荐：用 fnm 替代 nvm
curl -fsSL https://fnm.vercel.app/install | bash
fnm install 22
fnm use 22
node -v # v22.x.x

四、cn 镜像的变化

registry.npmmirror.com 仍是 2024 首选 npm 镜像。
新增 https://registry.npmmirror.com/-/binary/ 提供 Node 二进制镜像（替代 taobao 老的 npm.taobao.org/dist/）。

corepack（Node 16+ 内置）一站式管理 yarn / pnpm：

1
2


corepack enable
corepack prepare yarn@stable --activate

五、systemd 启动 Java 服务的"v2 写法"

2024 推荐加 cgroup v2 资源限制 + 安全沙箱：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20


[Service]
Type=simple
User=appuser
ExecStart=/usr/local/jdk/bin/java -jar /opt/app.jar
Restart=always
RestartSec=10
# 资源限制
CPUQuota=200%
MemoryMax=2G
MemoryHigh=1G
# 安全加固
NoNewPrivileges=true
ProtectSystem=strict
ProtectHome=true
PrivateTmp=true
# 现代化：动态用户
DynamicUser=yes
# 日志
StandardOutput=journal
StandardError=journal

六、容器化时代的开发环境

2024 大量新项目**不再用"装在系统里的 JDK"**这套——直接走容器：

1
2
3
4
5


# 用容器跑 Maven 构建（避免污染系统）
docker run -it --rm \
 -v $PWD:/app -w /app \
 maven:3.9-eclipse-temurin-21 \
 mvn clean package

容器化开发环境的优势：

JDK 版本随项目走（不用每台机器装多个版本）
团队所有人 build 出来的产物一致
CI/CD 用同一镜像

Dev Container（VS Code Remote Containers）+ GitHub Codespaces 是 2024 的"标准动作"——开发机里根本不装 JDK，全在容器里。

tcpcopy 流量复制实战：把生产 TCP 流量引到测试机做真实压测

Tue, 15 Nov 2022 00:00:00 +0800

背景

业务上线前，常规压测方法（JMeter、ab、wrk）都模拟不出来真实流量的"乱"——真实的用户行为、参数分布、慢请求、错误重试，真实流量里才有。

tcpcopy 是国产开源的流量复制工具，能把生产环境的真实 TCP 流量原样复制到测试机，完全真实地回放。

适用场景：

新版本上线前的真实流量压测
性能调优（数据库加索引、改 SQL、缓存优化）的量化对比
故障复现——线上出了 bug，把流量引到测试机反复重现
容量规划——评估"双 11 流量峰值需要多少机器"

前置知识：

TCP/IP 协议基础
Linux 内核路由
libpcap / iptables 基础

重要原则：tcpcopy 会修改源 IP 让响应走辅助机，生产环境用要谨慎：

做好"白名单 + 流量比例"控制，先 n 1（1 倍流量）再 n 2（2 倍）

测试机配置必须等同生产（CPU、内存、网卡、数据库）

千万不要把响应数据写回生产库——确认测试库/影子表

一、tcpcopy 工作原理

tcpcopy 不是简单"复制 TCP 包"，而是完整模拟 TCP 三次握手 + 数据交互：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17


 tcpcopy 进程 intercept 进程
 (线上机器) (辅助机器)
 │ │
[生产客户端] ──TCP──> [线上服务器] │
 │ ↑ │
 │ │ 1. 抓 IP 层包到 tcpcopy │
 │ │ │
 │ │ 2. 改目的 IP → 测试机 │
 │ └──────────────────────> [测试机] │
 │ 3. 改源 IP → 辅助机 IP │
 │ 4. 测试机处理请求，返回响应 │
 │ 5. 响应到辅助机，被 intercept 截获 │
 │ 6. drop 响应 body，复制 IP header ─>│
 │ 7. 发送响应头给 tcpcopy │
 │ 8. tcpcopy 模拟响应回客户端 │
 ↓ ↓
[生产客户端] <──TCP── [线上服务器] ← 响应用辅助机的 IP 头 ──

三台机器（经典架构）：

角色	数量	作用
线上服务器	1	安装 `tcpcopy`，抓生产包并转发
测试机	1	安装实际服务，接收复制流量
辅助机	1	安装 `intercept`，截获测试机响应、回传响应头

两台机器（简化）：辅助机和测试机合一，前提是辅助机有 IP 层抓包能力（同机房内通常可以）。

二、安装

2.1 tcpcopy（线上机器）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 源码
wget https://github.com/session-replay-tools/tcpcopy/archive/refs/tags/v1.2.0.tar.gz
tar xvf v1.2.0.tar.gz
cd tcpcopy-1.2.0
./configure --prefix=/opt/tcpcopy/
make
make install

# 打包（方便多机部署）
cd /opt
tar -zcvf tcpcopy.tar.gz tcpcopy

2.2 intercept（辅助机器）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


# 依赖
yum -y install libpcap-devel
# Ubuntu: apt install libpcap-dev

wget https://github.com/session-replay-tools/intercept/archive/refs/tags/1.0.0.tar.gz
tar xvf 1.0.0.tar.gz
cd intercept-1.0.0
./configure --prefix=/opt/tcpcopy/
make
make install

三、IP 与端口规划

假设：

线上服务器 IP：9.9.8.7（公网/业务）
客户端网段：62.135.200.0/24（生产用户 IP 段）
测试机 IP：10.1.2.3（内网，性能等同生产）
辅助机 IP：10.1.2.4（与测试机同网段，能抓到测试机回包）

线上服务器服务端口：8881（业务端口）

四、配置步骤

4.1 辅助机启动 intercept

1
2
3
4


# 默认端口 36524
/opt/tcpcopy/sbin/intercept -i any \
 -F 'tcp and (port 8881 or port 8882)' \
 -p 40003 -d

参数：

参数	含义
`-i any`	监听所有网卡
`-F 'tcp and src port 8881'`	BPF 过滤器：抓 TCP 源端口 8881 的包
`-p 40003`	intercept 与 tcpcopy 通信端口
`-d`	daemon 模式

4.2 测试机配置路由（把响应导向辅助机）

1
2
3


# 在测试机（10.1.2.3）上执行
# 把客户端网段 62.135.200.0/24 的响应路由到辅助机 10.1.2.4
route add -net 62.135.200.0 netmask 255.255.255.0 gw 10.1.2.4

4.3 线上服务器启动 tcpcopy

1
2
3
4
5


/opt/tcpcopy/sbin/tcpcopy \
 -x 8881-10.1.2.3:8881 \
 -s 10.1.2.4:40003 \
 -c 62.135.200.0/24 \
 -d

参数：

参数	含义
`-x 8881-10.1.2.3:8881`	把 8881 端口流量复制到测试机 8881
`-s 10.1.2.4:40003`	intercept 通信地址
`-c 62.135.200.0/24`	客户端 IP 段（必须，否则不复制）
`-d`	daemon 模式

五、流量控制实战

5.1 复制指定比例流量

1
2
3
4
5
6
7


# 复制 20% 流量
/opt/tcpcopy/sbin/tcpcopy -x 18001-10.1.2.3:18001 \
 -s 10.1.2.4 -c 62.135.200.0/24 -r 20 -d

# 复制 2 倍流量（流量放大，做压测峰值用）
/opt/tcpcopy/sbin/tcpcopy -x 18001-10.1.2.3:18001 \
 -s 10.1.2.4 -c 62.135.200.0/24 -n 2 -d

5.2 多端口同时复制

1
2
3
4


/opt/tcpcopy/sbin/tcpcopy \
 -x 80-61.135.233.160:8080 \
 -x 81-61.135.233.160:8081 \
 -s 61.135.233.161 -c 62.135.200.0/24 -d

5.3 复制 HTTPS

tcpcopy 抓的是IP 层包，对应用层透明，HTTPS/MySQL/Redis 都能复制。

但 HTTPS 复制后，测试机的 SSL 证书需要能"通过校验"——可以用 -k（客户端跳过证书校验）或导入相同证书。

六、完整生产级命令

线上服务器（iptables 配合，把响应包标记后让 tcpcopy 处理）：

1
2
3
4
5
6
7
8
9


# 让 tcpcopy 处理的端口
iptables -I INPUT -p tcp --sport 40001 -j DROP -s <测试机IP>
iptables -I INPUT -p tcp --sport 8881 -j DROP -s <测试机IP>
iptables -I OUTPUT -p tcp --sport 40001 -j NFQUEUE

/opt/tcpcopy/sbin/tcpcopy \
 -x 8787-<测试机IP>:40001 \
 -s <辅助机IP>:40003 \
 -c <客户端网段> -d

辅助机：

1
2
3
4


/opt/tcpcopy/sbin/intercept \
 -i em1 \
 -F 'tcp and src port 8881' \
 -p 40003 -d

测试机（路由 + 服务启动）：

1
2


route add -net <客户端网段> netmask 255.255.255.0 gw <辅助机IP>
# 启动业务服务，监听 8881

七、GLIBC_2.34 兼容性坑

最常见的错误：

1
2


/opt/tcpcopy/sbin/tcpcopy: /lib/x86_64-linux-gnu/libc.so.6: 
version `GLIBC_2.34' not found (required by /opt/tcpcopy/sbin/tcpcopy)

原因：tcpcopy 1.2.0 是 2022 年编译的，链接到 GLIBC 2.34（Ubuntu 22.04 默认）。如果线上服务器是 Ubuntu 20.04（GLIBC 2.31），就会报错。

对策：

方案 A：升级 OS 到 Ubuntu 22.04+（推荐）

方案 B：在 Ubuntu 22.04 编译后部署

1
2
3
4
5


# 拿 22.04 容器编译
docker run --rm -v $(pwd):/src ubuntu:22.04 bash -c "
 apt update && apt install -y build-essential libpcap-dev
 cd /src && ./configure --prefix=/opt/tcpcopy/ && make && make install
"

方案 C：打补丁降级

在 configure.ac 中改 -D_GNU_SOURCE 处理，不推荐——容易出诡异 bug。

查看 glibc 版本：

1
2


strings /lib/x86_64-linux-gnu/libc.so.6 | grep GLIBC_
# 应看到 GLIBC_2.31 / GLIBC_2.34 等

八、常见问题

8.1 “many connections can’t be established”

tcpcopy 复制时建立大量连接，可能与以下冲突：

测试机 ulimit 限制
测试机 TIME_WAIT 累积
辅助机抓包丢包（libpcap buffer 太小）

对策：

1
2
3
4
5
6
7


# 测试机优化
sysctl -w net.ipv4.tcp_tw_reuse=1
sysctl -w net.ipv4.ip_local_port_range="1024 65000"
ulimit -n 65535

# intercept 增大 buffer
/opt/tcpcopy/sbin/intercept -i any -F ... -p 40003 -d -m 4096

8.2 测试机收到的 IP 全是辅助机 IP

正常——这是 tcpcopy 故意改的（让响应回辅助机）。如果你的服务强依赖客户端 IP（如 IP 白名单、IP 限流），需要用其他工具（nginx X-Forwarded-For）。

8.3 数据库连接爆掉

复制 N 倍流量意味着测试数据库要承受 N 倍写入。对策：

测试库用 binlog_format=ROW + read_only 防止误写
用影子表（按用户分表）
用 ShardingSphere 影子库

8.4 tcpcopy 进程秒退

查看日志：

1
2


/opt/tcpcopy/sbin/tcpcopy -x ... -d 2>&1 | tee tcpcopy.log
# 去掉 -d 改前台

常见：libpcap 权限不够（用 root 跑）、intercept 端口不通（防火墙）。

九、卸载

1
2
3
4


rm -rf /opt/tcpcopy
rm -rf /opt/tcpcopy.tar.gz
# 清理路由
route del -net 62.135.200.0 netmask 255.255.255.0 gw 10.1.2.4

小结

tcpcopy 是真实流量回放的事实标准：

三机架构：线上 + 测试机 + 辅助机
流量控制：-r 比例复制、-n 流量放大
应用层透明：HTTP/HTTPS/MySQL/Redis 都能复制
GLIBC 坑：在 Ubuntu 22.04+ 编译部署

生产使用三原则：

先 1 倍再放大，避免误伤
测试库用 read_only + 影子表
看响应指标而非客户端数（测试机 CPU、DB QPS、慢 SQL）

下一步：

商业方案：GorillaStreamer、NetStitcher
应用层工具：GoReplay（HTTP 专用，更简单）
影子库：ShardingSphere 影子规则

2024 视角：流量复制进入 eBPF + 服务网格时代

2022 那篇是 tcpcopy 1.2.0 时代的"IP 层抓包复制"。2024 视角下，流量复制有了更现代的实现——尤其在 K8s/微服务生态。

一、tcpcopy 1.2.0 仍是 2024 的"经典选择"

2024 现状：tcpcopy 仓库 session-replay-tools/tcpcopy 维护节奏放缓（2018 后基本没大更新），但功能完整、稳定性高——仍被大量企业用。
替代选择：
- goreplay（Go 写，HTTP 专用）
- tcprewrite + tcpreplay（TCP 层回放）
- bilibili/overlord（B 站开源，Go 写，2023+ 活跃）
- eBPF-based：基于 eBPF 的现代方案

二、eBPF 流量复制的"现代方案"

2024 主流：用 eBPF 在内核态做流量复制——比 tcpcopy 更灵活。

1
2
3
4
5
6


# bpftool / tc 的 mirror 动作
tc qdisc add dev eth0 handle ffff: ingress
tc filter add dev eth0 parent ffff: protocol ip u32 match u32 0 0 \
 action mirred egress mirror dev eth1

# 镜像 eth0 流量到 eth1（旁路采集）

优势：
- 内核态抓包，性能零损耗
- 不会改源 IP（vs tcpcopy 改 IP）
- 可镜像到任何网卡 / netns
- 配合 bpf_dump（bpftool）能直接拿到包内容

三、K8s 时代的流量复制：服务网格

Istio（2024 仍是 K8s 服务网格事实标准）的 VirtualService 镜像功能：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13


apiVersion: networking.istio.io/v1beta1
kind: VirtualService
metadata:
 name: reviews-mirror
spec:
 hosts:
 - reviews
 http:
 - mirror:
 host: reviews-test  # 镜像到测试服务
 route:
 - destination:
 host: reviews  # 主流量仍走主服务

效果：
- 生产流量 100% 走 reviews（主服务）
- 同时 100% 流量复制到 reviews-test（测试服务）
- 测试服务的响应丢弃（不影响生产）

四、GoReplay 在 HTTP 场景的"现代姿势"

2024 GoReplay（github.com/buger/goreplay）仍是 HTTP 流量复制的"事实标准"：

1
2
3
4
5
6


# 在生产机器
goreplay --input-raw :8080 --output-http "http://test-server:8080"

# 复制 10% 流量
goreplay --input-raw :8080 --output-http "http://test-server:8080" --middleware "/path/to/middleware.go"
# middleware.go: 用 probability 控制复制比例

GoReplay 优势（比 tcpcopy 简单）：
- 纯 Go 单文件，不依赖 libpcap
- 不需要路由配置
- 不需要辅助机
- HTTP / WebSocket / HTTPS 都能复制

五、AI 训练数据的"流量录制"

2024 LLM / AI 应用最大新需求：生产 LLM API 请求录制做离线评测 / 模型微调：
- LangSmith（LangChain 自带）
- Langfuse（开源，2023 推出，2024 主流）
- Helicone（LLM 专用 observability）

1
2
3
4
5
6
7


# Langfuse 录 LLM 请求
pip install langfuse
from langfuse.decorators import observe, langfuse_context

@observe()
def llm_call(prompt: str) -> str:
 return openai.ChatCompletion.create(model="gpt-4", messages=[{"role": "user", "content": prompt}])

价值：把生产真实 prompt / response 录下来，做 Few-shot 训练数据。

六、数据库流量复制的"现代姿势"

2017 那篇没提，2024 数据库压测有专属方案：

MySQL Traffic Replay（MySQL 8.0+ 内置 mysqlbinlog | mysql 工具）
PostgreSQL pg_replay（第三方）
ShardingSphere 影子库：应用层流量分流
tcpcopy + 数据库代理（如 ProxySQL）：用 tcpcopy 抓 MySQL 流量复制到测试库

1
2
3
4
5
6
7


-- MySQL 8.0 录 binlog
mysqlbinlog --read-from-remote-server --host=prod-db --user=repl --password=xxx \
 --raw --stop-never-slave-server-id=1 \
 mysql-bin.000001 > /tmp/binlog.sql

# 拿到测试库
mysql -h test-db < /tmp/binlog.sql

七、流量复制的"合规边界"

生产流量包含用户数据（手机号、地址、身份证）—— 复制到测试环境直接违反《数据安全法》《个保法》。
2024 合规要点：
- 脱敏：复制前 mask 敏感字段
- 审计：所有流量复制要留审计日志
- 数据隔离：测试环境的流量复制数据不能进生产库
- 用途限制：复制的流量只能用于压测、调试，不能用于训练、对外展示

1
2
3
4
5
6
7
8
9


# 流量脱敏示例
import re

def mask_pii(payload: dict) -> dict:
 if 'phone' in payload:
 payload['phone'] = re.sub(r'(\d{3})\d{4}(\d{4})', r'\1****\2', payload['phone'])
 if 'id_card' in payload:
 payload['id_card'] = payload['id_card'][:6] + '********' + payload['id_card'][-4:]
 return payload

源文档：os/linux/第三方tools/net/tcpcopy/tcpcopy.md（完整安装步骤、路由配置、GLIBC 报错、iptables 配合）

Linux 安全加固：EDR 部署、OpenSSH 9.8 升级与挖矿病毒排查

Sun, 15 May 2022 00:00:00 +0800

一、为什么 2022 年要谈 Linux 安全加固

2020-2022 年是国内挖矿木马最高峰的两年——Log4j2（2021-12 CVE-2021-44228）、Confluence（2021-2022）、Spring4Shell（2022-03 CVE-2022-22965）接连爆出，攻击者用漏洞横向打穿企业内网后植入 c3Pool / MoneroOcean 等矿池挖矿代理。本文整理三件套：

EDR Agent 一键部署——商用 EDR（终端检测与响应）平台让运维少背锅
OpenSSH 9.8 升级——修 CVE-2020-15778（OpenSSH 8.2 scp 命令注入）等高危漏洞
挖矿病毒应急排查——c3Pool 类挖矿木马的发现、定位、清理流程

本文写于 2022-05-15。OpenSSH 9.8 是 2024-07 发布的（本文示例为 9.8p1），但编译升级流程对所有 OpenSSH 大版本升级都适用。

二、EDR Agent 一键部署

EDR（Endpoint Detection and Response）平台——奇安信天擎、深信服 EDR、亚信安全、青云 Radware 等——都提供 Linux 客户端（agent）。商业 EDR 的标准装法是从管理控制台下载安装包，到终端一键部署。

2.1 命令行部署（标准动作）

1
2
3
4


wget --no-check-certificate https://<管理平台IP>:4430/download_installer_linux.php \
 -O linux_edr_installer.tar.gz \
&& tar -xzvf linux_edr_installer.tar.gz \
&& ./agent_installer.sh -c

4430 是 EDR 管理平台默认端口
-c：无参安装，从同目录的 manager_info.txt 读取管理平台地址

2.2 下载器部署（手动拷贝安装包）

登录管理控制台，下载 Linux 安装包
拷贝到服务器（scp / ftp / U 盘）
解压：
1

tar -xzvf linux_edr_installer.tar.gz

装：

1
2
3
4
5
6
7


# 无参安装（用同目录 manager_info.txt）
./agent_installer.sh

# 自定义安装
./agent_installer.sh -f
./agent_installer.sh -h <mgr-domain-or-ip>
./agent_installer.sh -h <mgr-host> -p 443 -d /root/edr/ -f

参数列表：

参数	作用
`-h host`	自定义管理平台域名 / IP
`-p port`	自定义管理平台端口（默认 4430）
`-d dir`	自定义安装路径（绝对路径）
`-f`	强制安装（覆盖已有）
`--help`	帮助

装完 agent 会自动连管理平台，进程通常叫 edr_agent / qax-anti-virus 之类。

2.3 验证

1
2
3
4
5
6
7
8


ps -ef | grep -i agent
# 看 EDR 进程是否在

netstat -antp | grep <管理平台IP>
# 看是否建立了到管理平台的连接

tail -f /var/log/edr/edr.log
# 看 agent 日志

坑提醒：EDR agent 启动会占 200-500MB 内存 + 5-10% CPU，对老旧业务机器要提前评估。

三、OpenSSH 升级：修 CVE-2020-15778

CVE-2020-15778（CVSS 7.8 高危）：OpenSSH 8.2 的 scp 命令存在命令注入漏洞——scp 在处理 scp tgt:'echo test > /tmp/hack' 这种参数时，反引号会被执行。OpenSSH 9.8p1（2024-07）已修复。

3.1 走系统源升级

1
2
3


sudo apt update && sudo apt -y upgrade
# 或 CentOS
sudo yum update openssh

大部分 LTS 发行版会自动 backport 修复，直接 apt upgrade 就够了——但版本号可能不会升到 9.8p1。

3.2 源码编译升级（需要 9.8p1 完整版本）

3.2.1 装依赖

1
2
3


sudo apt update
sudo apt install build-essential zlib1g-dev libssl-dev -y
sudo apt install autoconf -y

3.2.2 准备 PrivSep 目录

1
2
3


sudo mkdir /var/lib/sshd
sudo chmod -R 700 /var/lib/sshd/
sudo chown -R root:sys /var/lib/sshd/

3.2.3 装额外依赖（Kerberos / PAM / SELinux）

1

sudo apt install libpam0g-dev libselinux1-dev libkrb5-dev -y

3.2.4 下载 + 编译

1
2
3
4
5
6
7
8
9


curl -O https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.8p1.tar.gz
sudo tar -zxf openssh-9.8p1.tar.gz
cd openssh-9.8p1
sudo autoreconf
sudo ./configure --with-kerberos5 --with-md5-passwords --with-pam \
 --with-selinux --with-privsep-path=/var/lib/sshd/ \
 --sysconfdir=/etc/ssh
sudo make
sudo make install

3.2.5 重启 + 验证

1
2
3
4


sudo systemctl restart ssh
sudo systemctl status ssh
ssh -V
# OpenSSH_9.8p1, OpenSSL 1.1.1f 31 Mar 2020

坑提醒 1：升级前先开两个 SSH 会话——一个升级、一个监视。万一升级失败，被踢出来时还有回退渠道。

坑提醒 2：编译时如果报 configure: error: OpenSSL library not found，装 libssl-dev（Debian/Ubuntu）或 openssl-devel（RHEL/CentOS）。

坑提醒 3：升级后 /etc/ssh/sshd_config 不会自动更新——但 sshd_config 5.x → 9.x 兼容性一般没问题。

四、挖矿病毒应急排查

c3Pool、MoneroOcean、Supportxmr 等门罗币矿池是国内挖矿木马最常用的"回传通道"。特征：

进程名随机（f54e90d4 / ntools / WbeGGvQK / kthrotlds 等）
CPU 持续 80%+
跟矿池的 3333 / 5555 / 7777 / 14444 / 14433 等端口建连
cron 里写 */5 * * * * /tmp/.x/...
/etc/cron.d/、/var/spool/cron/、/etc/rc.local 被改

4.1 排查步骤

第 1 步：看 CPU 占用

1

top -u <被怀疑的用户>

或精确找挖矿进程：

1

ps -ef | grep -E 'kdevtmpfsi|kinsing|xmrig|minerd|c3pool' | grep -v grep

第 2 步：查网络连接

1
2
3
4
5


# 看跟可疑矿池的连接
ss | grep -i :3333
ss | grep -i :14444
ss | grep -i :14433
netstat -antp | grep -E ':(3333|5555|7777|14444|14433)\s'

第 3 步：查定时任务

1
2
3
4
5


crontab -l
ls -la /etc/cron.d/
ls -la /etc/cron.daily/ /etc/cron.hourly/ /etc/cron.weekly/
ls -la /var/spool/cron/
cat /etc/rc.local

第 4 步：看启动项

1
2
3


systemctl list-unit-files | grep enabled
# 找可疑的 .service
cat /etc/systemd/system/<可疑>.service

第 5 步：杀进程 + 删文件

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15


# 杀进程
pkill -9 -u <被感染用户>
# 或按 PID
ps -ef | grep -i xmrig | grep -v grep | awk '{print $2}' | xargs kill -9

# 删文件
rm -rf /tmp/.x/
rm -rf /var/tmp/.cache/
rm -rf /root/.configrc/

# 删用户
userdel -r <被感染用户>

# 清空可疑 crontab
crontab -r

第 6 步：改密码 + 收口

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13


passwd root
# 改所有用户密码
# 撤 SSH 密钥
rm -f /root/.ssh/authorized_keys
rm -f /home/*/.ssh/authorized_keys

# 关可疑端口（防火墙）
iptables -A INPUT -p tcp --dport 3333 -j DROP
iptables -A INPUT -p tcp --dport 14444 -j DROP

# 查 SSH 登录历史
last -a | grep -i still
# 找可疑 IP

4.2 排查命令速查

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17


# 1. 看哪些用户登录了
last -a

# 2. 看哪些 SSH 进程在工作
ps -ef | grep sshd | grep -v grep
netstat -antp | grep 'ESTABLISHED.*sshd'

# 3. 查进程工作目录
ps -ef | grep -i xmrig
pwdx <PID>
ll /proc/<PID>/cwd
# /proc/<PID>/cwd 是进程当前工作目录的软链接

# 4. 查被修改的二进制
rpm -Va | grep -E '^..5' # CentOS / RHEL
debsums -c # Debian / Ubuntu
# 5=MD5 不一致 → 二进制被替换

4.3 应急清单

步骤	命令	目的
1. 隔离	`iptables -I INPUT -s <可疑IP> -j DROP`	阻断攻击者 SSH 入口
2. 拍快照	云盘快照 / LVM 快照	保留现场取证
3. 杀进程	`pkill -9 -u <user>`	中断挖矿
4. 删文件	`rm -rf /tmp/.x/`	清掉二进制
5. 改密码	`passwd root`	防止再次入侵
6. 收口	封 3333/14444 等矿池端口	防止复连
7. 复盘	查 SSH 弱口令 / 未授权密钥 / 0day	找到入侵路径

五、SSH 攻击 IP 黑名单（fail2ban 思路）

fail2ban 是 Linux 标配的 SSH 防护工具——连续登录失败 N 次自动封 IP。

1
2
3
4
5
6


# Debian / Ubuntu
sudo apt install -y fail2ban

# CentOS / RHEL
sudo yum install -y epel-release
sudo yum install -y fail2ban

/etc/fail2ban/jail.local：

1
2
3
4
5
6
7
8
9


[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/secure # CentOS
# logpath = /var/log/auth.log # Ubuntu
maxretry = 5
findtime = 600
bantime = 3600

启动：

1
2


sudo systemctl enable --now fail2ban
sudo fail2ban-client status sshd

六、典型坑速查

现象	原因	处理
OpenSSH 编译失败	缺 `libssl-dev` / `libpam0g-dev`	走 §3.2.1 装依赖
SSH 升级后无法登录	`sshd_config` 配错	控制台 / VNC 登录修 `/etc/ssh/sshd_config`
EDR agent 装不上	服务器断网 / 平台端口不通	走 §2.2 下载器部署
`userdel` 失败	用户还有进程在跑	`pkill -u <user> && userdel -r <user>`
`crontab -e` 提示 “no crontab for root”	crontab 已被清空	这是好事，再 `crontab -e` 重新建
矿池连不上但 CPU 仍高	杀的是单进程、还有其他变种	`pkill -9 -u <user>` 一刀切

七、2024+ 视角补充

本文写于 2022-05，2024-2026 期间 Linux 安全加固关键演进：

OpenSSH 9.8 → 9.9 → 10.0（2024-2026）：
- OpenSSH 9.9（2024-09）：后量子算法默认启用（ML-DSA / hybrid Streamlined NTRUPrime）
- OpenSSH 10.0（2025-04）：dropbear 替代品；DSA 主机密钥完全移除
- CVE-2024-6387（regreSSHion）：OpenSSH 8.5p1 ~ 9.7p1 的 signal handler race condition——远程 RCE 漏洞，必须升 9.8p1+（2024-07 修复）
EDR 生态（2024-2026）：
- CrowdSec 1.0+（2024）：社区共享 IP 黑名单——fail2ban 的现代替代，集成 fail2ban bouncer 兼容
- Wazuh 4.9+（2025）：开源 EDR / SIEM——OSSEC 演进版，机器学习检测 / 合规基线
- Falco 0.40+（2025）：CNCF 毕业——运行时安全（eBPF），K8s 安全监控首选
- Tetragon 1.0+（2024）：eBPF 驱动的 K8s 安全——Cilium 出品
- Tracee 1.0+（2024）：Aqua Security 出品，运行时威胁检测
挖矿木马演化（2024-2026）：
- 门罗币（XMR） 仍是主流，2024+ 出现 AI 挖矿（LLM 模型训练）——更隐蔽
- APT 组织 从挖矿转向勒索 + 数据窃取双驱动——纯挖矿变少
- 供应链投毒 2024+ 高发（XZ Utils 后门 CVE-2024-3094 / Polkit 提权）
EDR 商业方案（2024+）：
- CrowdStrike Falcon（2024-07 全球蓝屏事件后信任度下降，但仍是主流）
- Microsoft Defender for Endpoint / Linux：2024+ 集成 K8s，Linux Server 端默认
- 阿里云 / 腾讯云安骑士 / 云安全中心：国内云上 EDR 首选

实战建议（2025-2026 视角）：

SSH 安全 → 立即升 OpenSSH 9.8p1+（修 CVE-2024-6387）
EDR 选型：
- 预算充足 / 企业 → CrowdStrike / Microsoft Defender
- 开源 / 自托管 → Wazuh 4.9+（SIEM + EDR） / Falco（K8s）
挖矿防护 → CrowdSec 替代 fail2ban（社区共享 IP 黑名单）
白名单 → SELinux Targeted + OpenSCAP（合规基线扫描）
云原生 → Falco + Tetragon 是 2024-2026 K8s 安全黄金组合

八、下一步

想做更细的病毒查杀 → 上 OSSEC / Wazuh / ClamAV 等开源 EDR
想做 SSH 集中管理 → 走堡垒机（齐治 / 安恒 / JumpServer）
想做内网横向流量检测 → 上 NDR（科来、东巽科技、聚铭网络）
想给服务器上白名单模式 → 走 SELinux Targeted 策略或 AppArmor

参考资料

HFish 蜜罐部署实战：低交互诱捕与威胁感知

Wed, 15 Sep 2021 00:00:00 +0800

背景

蜜罐（Honeypot）是一种主动防御技术：故意暴露"看似有价值但实际是诱饵"的服务，吸引攻击者来探测/爆破/上传，全程记录攻击者行为，作为威胁情报和反制的依据。

HFish 是国内微步在线（github.com/hacklcx/HFish）开源的蜜罐平台，特点：

部署简单：Docker 一行命令
多协议支持：SSH、Telnet、FTP、MySQL、Redis、HTTP、HTTPS、Web 登录等 20+ 蜜罐服务
Web 控制台：实时看攻击源、攻击方式、被攻击蜜罐
告警联动：支持钉钉、企业微信、飞书告警
威胁情报对接：与微步 XTI 等威胁情报平台集成

适用场景：

真实生产网络旁路部署，感知来自内/外的攻击
暴露在公网，吸引扫描器、勒索病毒、挖矿木马的"先头部队"
安全运营中心（SOC）补充威胁情报

前置知识：

Docker 基础
Linux 端口/防火墙
安全运营基础（告警分诊）

重要原则：蜜罐必须部署在独立网络或旁路，绝不能跟真实业务混用——一旦攻击者通过蜜罐横向移动到生产网，损失巨大。

一、部署架构

HFish 部署两种角色：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


 ┌──────────────┐
 │ HFish 服务端 │ ← Web 控制台、数据聚合
 │ (主控节点) │ 监听 4433（Web） 4434（数据回传） 22（SSH 蜜罐）
 └──────┬───────┘
 │ 数据回传（TCP 4434）
 ┌──────────────┼──────────────┐
 │ │ │
 ┌────▼─────┐ ┌────▼─────┐ ┌────▼─────┐
 │ HFish 节点│ │ HFish 节点│ │ HFish 节点│
 │ (按需部署) │ │ (按需部署) │ │ (按需部署) │
 └──────────┘ └──────────┘ └──────────┘
 跑各种蜜罐服务

最小化部署（单节点）：

Web 控制台：TCP 4433（HTTPS）
数据回传：TCP 4434
SSH 蜜罐：TCP 22（可选，与真实 SSH 冲突需改端口）
其他蜜罐：FTP 21、Telnet 23、MySQL 3306、Redis 6379、HTTP 80 等

⚠️ 端口冲突：如果生产机器 SSH 是 22，HFish 的 SSH 蜜罐需要改端口（如 2222），或者用 iptables 做端口转发：把到达 22 的攻击流量先到 HFish（用 iptables -m statistic --mode random 概率引流），再让真实 SSH 兜底。

二、Docker 一键部署

2.1 启动命令

1
2
3
4
5
6


docker run -d --restart=always \
 --name hfish \
 -v /home/docker/hfish:/usr/share/hfish \
 --net=host \
 --privileged=true \
 threatbook/hfish-server:latest

参数解释：

参数	作用
`--net=host`	蜜罐服务监听主机端口，必须 host 模式
`--privileged=true`	蜜罐需要权限（如模拟 iptables 阻断）
`-v /home/docker/hfish:/usr/share/hfish`	持久化数据、配置
`--restart=always`	守护进程挂了自动拉起

2.2 升级

1
2
3


# 用 watchtower 自动升级（推荐）
docker run --rm -v /var/run/docker.sock:/var/run/docker.sock \
 containrrr/watchtower -cR hfish

2.3 配置文件位置

容器内 /usr/share/hfish/config.toml 挂载到宿主 /home/docker/hfish/config.toml，改完配置重启容器：

1

docker restart hfish

三、初始化 Web 控制台

3.1 登录

浏览器访问 https://<蜜罐IP>:4433/web/login。

首次登录会提示初始化管理员密码，原始默认：

账号：admin
密码：HFish2021

强烈建议：登录后立刻改密码（系统设置 → 账户管理），并开启二次验证。

3.2 初始配置

集群节点：默认就是单机版，多节点需要"添加子节点"
蜜罐模板：内置 20+ 模板（SSH/Telnet/FTP/MySQL/Redis/HTTP 等）
告警通道：钉钉机器人、企业微信、飞书、SMTP

四、蜜罐模板与典型部署

4.1 启用 SSH 蜜罐

最常被攻击的蜜罐：

模板：选 “SSH 22” 或自定义端口
模拟 banner：伪装成 OpenSSH 7.4（CentOS 7 默认）
弱口令字典：内置常见 root/123456、admin/admin 等

攻击者尝试登录时，HFish 会故意放慢响应（避免被识别为蜜罐），同时记录尝试的用户名/密码/源 IP/时间。

4.2 启用 MySQL 蜜罐

端口：3306
banner：伪装成 MySQL 5.7.38
漏洞模拟：可模拟 cve-2021-27928 等已知漏洞的响应

4.3 启用 HTTP/HTTPS 登录页蜜罐

内置仿登录页面（OA、邮箱、VPN、RouterOS）
攻击者输入的账号密码全部记录
上传文件时接收并保存到分析目录

4.4 启用 Web 蜜罐（含 CVE 仿真）

内置 WordPress、Struts2、ThinkPHP、Confluence 等 30+ Web 蜜罐模板，攻击者访问会触发"漏洞利用尝试"记录。

五、告警对接

5.1 钉钉机器人

1
2
3
4


系统设置 → 告警管理 → 钉钉
Webhook：https://oapi.dingtalk.com/robot/send?access_token=xxxxx
签名密钥：（可选）
事件：攻击告警、蜜罐失联、节点掉线

5.2 企业微信 / 飞书

类似钉钉，填 Webhook URL 即可。

5.3 Syslog / SIEM

1
2
3
4
5
6


# config.toml
[syslog]
enabled = true
host = "siem.internal.example.com"
port = 514
protocol = "udp"

HFish 会把攻击事件以 CEF/LEEF 格式推送到 SIEM（如 Splunk、ELK、QRadar）。

六、威胁情报价值

蜜罐数据最大的价值是威胁情报：

攻击源 IP：可以批量加入防火墙黑名单
攻击载荷：上传的 WebShell、勒索病毒样本，可喂给沙箱分析
攻击者画像：通过历史记录建立攻击者画像（IP 段、UA、TLS fingerprint）
新漏洞预警：HFish 内置最新 CVE 仿真模板，新漏洞爆发几小时内就有攻击数据

七、生产部署建议

7.1 旁路部署（推荐）

1
2
3


[公网] → [边界防火墙] → [生产网] ← 攻击者尝试突破
 ↓
 [旁路蜜罐网] ← HFish 监听公网 IP

HFish 服务器单独一个网段，不与生产网互通。攻击者即使拿到蜜罐 shell 也"逃不出去"。

7.2 分布式节点

大型企业多机房部署：

中心节点（北京）：聚合所有数据，Web 控制台
边缘节点（上海/广州/深圳）：跑蜜罐服务，回传数据到中心

/etc/hfish/cluster.toml：

1
2
3
4


[cluster]
enabled = true
node_id = "edge-shanghai-01"
master_url = "https://hfish-master.internal.example.com:4434"

7.3 防止蜜罐被识别

响应时间随机化：HFish 自带
Banner 真实化：选对目标系统的版本
避免过于完美：故意留一些"小破绽"让攻击者觉得是真实系统
不要主动告警给攻击者：蜜罐被识破后，攻击者会切换通道

7.4 容量规划

蜜罐数量	建议配置	日志量级
1-5 个	2 核 4G	1-10 MB/天
5-20 个	4 核 8G	10-100 MB/天
20-50 个	8 核 16G	100MB-1GB/天
50+	集群	1GB+/天

八、常见问题

8.1 蜜罐被反扫

攻击者通过 IP 段扫描发现"全是蜜罐"，会标记后跳过。对策：

真实业务系统旁挂几个蜜罐（不是全部）
蜜罐与真实服务用不同 IP 段

8.2 蜜罐被攻破后反向被利用

经典场景：蜜罐的 SSH 蜜罐被攻破 → 攻击者用 SSH 蜜罐的跳板去打别人 → 蜜罐 IP 被列入 RBL 黑名单。

对策：

蜜罐出口严格限制（iptables OUTPUT 限制只能连到日志服务器）
启用 iptables 蜜罐流量主动劫持到本地黑洞

8.3 HFish 容器起不来

1
2
3


docker logs hfish
# 常见原因：4433 端口被占
lsof -i :4433

九、卸载

1
2
3


docker stop hfish
docker rm hfish
rm -rf /home/docker/hfish

小结

HFish 是国内最易上手的蜜罐平台：

Docker 一行命令即可部署
Web 控制台实时看攻击，比纯文本日志好用 10 倍
告警对接钉钉/企微/SIEM，让安全运营团队能即时响应
威胁情报输出：攻击源 IP、攻击手法、上传样本

生产部署三原则：

旁路部署，不与生产网互通
限制出口，蜜罐被攻破后不能跳板
真实化配置，banner、响应时间贴近目标系统

下一步：

用 T-Pot（多蜜罐整合平台）做欧洲风格的蜜罐矩阵
把蜜罐数据接入 SOAR（如华为 Intewell、阿里云安全编排）
与 ATT&CK 框架对齐，看攻击者覆盖了哪些战术

2024 视角：蜜罐 + XDR + 主动防御的"现代融合"

2021 那篇是 HFish 蜜罐单点部署的实战。2024 视角下，蜜罐已经融入 XDR（Extended Detection and Response）生态。

一、蜜罐 + XDR 的"杀伤链"早期发现

传统蜜罐价值：记录攻击、收集样本、威胁情报。
2024 升级：蜜罐数据接入 XDR / SIEM 后，能在攻击者"横向移动"前发现他们：

1
2


[攻击者] → 扫公网 → 命中蜜罐 → XDR 告警 → 自动隔离可疑 IP → 追踪 APT
 ↑ 早期发现 ↑ 自动响应

XDR 平台：CrowdStrike Falcon XDR / Microsoft Defender XDR / 阿里云 XDR / 华为 HSS XDR。

二、HFish 2024 的版本变化

HFish 3.0+（2022 起）支持：
- 蜜罐指纹模拟：模拟真实业务系统（MySQL 8.0.30 vs MySQL 5.7.38 的 banner 差异）
- 多租户：多个业务部门用同一套 HFish，按部门隔离数据
- WebSocket 蜜罐：模拟 Web 服务的实时连接
- 蜜罐集群：中心-边缘架构（中心管数据，边缘跑蜜罐）

1
2
3
4
5
6
7


# 2024 装 HFish 3.x
docker run -d --restart=always \
 --name hfish \
 -v /home/docker/hfish:/usr/share/hfish \
 --net=host \
 --privileged=true \
 threatbook/hfish-server:3.0.0

三、T-Pot 2024：蜜罐"全家桶"事实标准

T-Pot（由 T-Mobile Security 维护）2024 已是蜜罐"全家桶"标准——20+ 蜜罐工具 一键集成：

1
2
3
4
5


# 装 T-Pot 2024
# 最小 8G RAM / 128G SSD / 单网卡
git clone https://github.com/telekom-security/tpotce
cd tpotce/iso/installer
./install.sh --type=user

T-Pot 2024 自带：
- 蜜罐：Cowrie（SSH/Telnet）、Dionaea（FTP/SMB）、Glastopf（HTTP）、Conpot（ICS/SCADA）、Honeysap（SAP）、Mailoney（SMTP）、Rdpy（RDP）等
- 可视化：Kibana + Elasticsearch（攻击大屏）
- 威胁情报：自动对接 MISP、AlienVault OTX

四、蜜罐 + eBPF 的"高级对抗"

2024 高级蜜罐用 eBPF 拦截系统调用，比用户态蜜罐更难被检测：

1
2
3
4
5


# 用 Tracee（Aqua Security 开源 eBPF 蜜罐）跟踪可疑行为
kubectl apply -f https://raw.githubusercontent.com/aquasecurity/tracee/master/deploy/kubernetes/tracee-daemonset.yaml

# 触发"反弹 shell"告警
tracee --trace 'comm=bash AND syscall=connect'

Tracee 能检测到：
- 反弹 shell（bash connect）
- 容器逃逸
- 隐藏进程
- 凭证读取
- 文件篡改

五、云原生时代的"蜜罐 Pod"

2024 蜜罐可以跑在 K8s 里——以 Pod 形式存在：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25


# fake-ssh-pod.yaml
apiVersion: apps/v1
kind: Deployment
metadata:
 name: fake-ssh
 namespace: honeypot
spec:
 replicas: 3
 selector:
 matchLabels:
 app: fake-ssh
 template:
 metadata:
 labels:
 app: fake-ssh
 spec:
 containers:
 - name: cowrie
 image: cowrie/cowrie:latest
 ports:
 - containerPort: 22
 resources:
 limits:
 memory: 256Mi
 cpu: 500m

优势：蜜罐被攻击 → K8s 自动重启 / 漂移 / 隔离。
风险：被攻击者反控 K8s 集群。必须配 NetworkPolicy 严格限制：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21


# honeypot-isolation.yaml
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
 name: honeypot-isolation
 namespace: honeypot
spec:
 podSelector: {}
 policyTypes:
 - Ingress
 - Egress
 ingress:
 - from:
 - namespaceSelector: {}
 egress:
 - to:
 - namespaceSelector:
 matchLabels:
 name: monitoring
 ports:
 - port: 9200 # ES

六、ATT&CK 框架的"蜜罐数据映射"

2021 那篇提到"与 ATT&CK 框架对齐"。2024 实战：

ATT&CK 矩阵（v14，2023-10）：14 大战术、200+ 技术、600+ 子技术。
蜜罐数据打 ATT&CK 标签——每次攻击记录映射到具体技术：

攻击者行为	ATT&CK 技术
扫 SSH 22 端口	T1046（Network Service Scanning）
试 root/123456 登录	T1110.001（Password Guessing）
反弹 shell	T1059.004（Unix Shell）
写 crontab	T1053.003（Cron）
横向 SMB	T1021.002（SMB/Windows Admin Shares）

价值：让 SOC 知道攻击者覆盖了哪些战术、差哪些战术（= 防护盲点）。

七、HFish 的"蜜罐溯源"能力

蜜罐溯源：故意在蜜罐里放"假数据"（伪造的用户名、API key、token），攻击者拿走后会回连蜜罐：
- 浏览器指纹（Canvas 指纹、WebGL 指纹）
- 真 IP（WebRTC 暴露）
- QQ / 微信 ID（社交钓鱼）

1
2
3
4
5


# 在 HTTP 蜜罐里加追踪代码
<script>
 // 拿到攻击者真实 IP（WebRTC）
 fetch('/api/webrtc-leak').then(r => r.json()).then(console.log)
</script>

2024 法规：蜜罐溯源不能主动攻击攻击者（“反杀"违法），但被动记录完全合法。

源文档：os/linux/第三方tools/safe/hfish/hfish.md（Docker 部署、初始账号、Web 控制台）

Kylin V10 实战：国产化服务器的 root 密码与基本配置

Thu, 15 Apr 2021 00:00:00 +0800

一、为什么 2021 年要聊 Kylin V10

Kylin V10（银河麒麟操作系统服务器版）是国产化服务器操作系统的代表之一，2019-2020 年开始进入党政机关、关键行业的"信创"采购清单。它的内核基线是 4.19（5.x LTS 内核），包管理走 dnf / yum 4.x，绝大多数命令与 CentOS 7/8 / RHEL 8 兼容——所以从 CentOS 迁移过来基本无痛。

时间线：

2020-08：Kylin V10 首个 SP1 发布

2020-12：Kylin V10 SP2

2021-04：Kylin V10 SP3（本文写于这个时间点）

2022-09：Kylin V10 SP3 更新包

2023-04：Kylin V10 SP3 增强版

Why Kylin V10：

国产化替代：党政、金融、电信、能源行业的"信创"目录常驻
兼容 RHEL/CentOS 8 生态（dnf / systemctl / firewalld 都跟 RHEL 8 一样）
自带 UKUI 桌面（服务器版一般不装），桌面版对 Windows 用户友好

二、root 密码修改

Kylin V10 第一次登录（控制台 / SSH）后第一件事就是改 root 密码——这点跟 CentOS 完全一样。

2.1 命令行改

1
2
3
4
5


passwd root
更改用户 root 的密码 。
新的 密码：
重新输入新的 密码：
passwd：所有的身份验证令牌已经成功更新。

2.2 远程 SSH 改

如果是云厂商提供的 Kylin V10 主机（如华为云、阿里云信创版块），一般首次登录需要用厂商给的初始密码，控制台 / VNC 登录后再 passwd root 改。

2.3 单用户模式重置（救援）

跟 CentOS 7 一样：

开机引导按 e
找到 linux16 那一行（UEFI）/ linux 那一行（legacy），把 ro 改成 rw init=/sysroot/bin/sh
Ctrl + x 启动
chroot /sysroot → passwd root → touch /.autorelabel → exit → reboot

坑提醒：Kylin V10 默认启用 SELinux，所以 /.autorelabel 一定要执行；否则重启后 root 登录会直接被 SELinux 拒绝。

三、Kylin V10 的"CentOS 8 兼容性"

下面这些是 Kylin V10 上能直接跑的命令，不需要改任何东西：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32


# 包管理
sudo dnf install -y nginx
sudo dnf update
sudo dnf search docker

# 服务管理（systemd 完整支持）
sudo systemctl start nginx
sudo systemctl enable nginx
sudo systemctl status firewalld

# 防火墙（firewalld）
sudo firewall-cmd --add-port=80/tcp --permanent
sudo firewall-cmd --reload

# SELinux
getenforce
setenforce 0
sudo vi /etc/selinux/config

# 网络
ip addr
nmcli connection show
nmcli connection up ens33

# 时间和时区
timedatectl set-timezone Asia/Shanghai
chronyc sources -v

# 用户
useradd -m -s /bin/bash devuser
passwd devuser
usermod -aG wheel devuser # wheel 组 = sudo 权限

四、Kylin V10 的"国产化"差异点

虽然兼容 CentOS/RHEL，但 Kylin V10 有几个专属的国产化组件，要留意：

4.1 ukui（桌面环境，服务器版默认没装）

1
2
3
4


# 查看是否装了桌面
rpm -qa | grep ukui

# 服务器版通常只装控制台，桌面版才装 UKUI

4.2 kylin-kmre（移动应用兼容层）

Kylin V10 桌面版有"安卓 APP 兼容层"，可以把 Android APK 当作 Kylin 桌面 APP 跑。服务器版用不到。

4.3 国产 CPU 架构支持

Kylin V10 除了 x86_64，还发布鲲鹏（ARM64）/ 飞腾 / 龙芯 / 兆芯等架构的版本：

aarch64：华为鲲鹏、飞腾
mips64el：龙芯
loongarch64：龙芯 LoongArch

1
2


uname -m
# x86_64 / aarch64 / mips64el / loongarch64

不同架构的 Kylin V10 镜像不通用，安装介质一定要跟 CPU 架构匹配。

4.4 yum/dnf 源

Kylin V10 默认配的是麒麟官方源（http://archive.kylinos.cn/...），但国内信创环境经常换成：

麒麟官方：archive.kylinos.cn（同步上游 RHEL 8.4 / 8.5）
华为云镜像：mirrors.huaweicloud.com/kylin/...
阿里云镜像：mirrors.aliyun.com/kylin/...

1
2
3
4
5
6


cat /etc/yum.repos.d/kylin_x86_64.repo
# [os]
# name = Kylin 10
# baseurl = http://archive.kylinos.cn/yum/v10/sp3-$releasever/os/$basearch/
# enabled = 1
# gpgcheck = 1

五、远程 SSH 配置

Kylin V10 默认是不允许 root 远程 SSH 登录的（PermitRootLogin no）。改：

1
2
3
4
5
6


sudo vi /etc/ssh/sshd_config

# PermitRootLogin yes # 允许 root 登录
# PasswordAuthentication yes # 允许密码登录

sudo systemctl restart sshd

生产环境强烈不推荐 开启 root 远程登录，应该走 ssh-keygen + ~/.ssh/authorized_keys。

免密登录示例：

1
2
3
4
5


# 客户端生成密钥
ssh-keygen -t ed25519 -C "dev@<your-host>"

# 把公钥推到服务器
ssh-copy-id -i ~/.ssh/id_ed25519.pub root@<kylin-server-ip>

六、Docker 部署（可选）

Kylin V10 装 Docker 跟 CentOS 8 / RHEL 8 一样——但建议用 docker-ce，不要用系统源里可能没有维护的 docker：

1
2
3
4


sudo dnf install -y dnf-utils
sudo dnf config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
sudo dnf install -y docker-ce docker-ce-cli containerd.io
sudo systemctl enable --now docker

坑提醒：鲲鹏（aarch64）/ 龙芯等架构上 docker-ce 没有官方 repo，需要从华为云 / 麒麟自己的源装。

七、防火墙与 SELinux

Kylin V10 默认启用 firewalld 和 SELinux——跟 RHEL 8 一致。

7.1 防火墙常用命令

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13


# 看状态
sudo firewall-cmd --state

# 放行端口
sudo firewall-cmd --zone=public --add-port=8080/tcp --permanent
sudo firewall-cmd --reload

# 看规则
sudo firewall-cmd --list-all

# 临时关
sudo systemctl stop firewalld
sudo systemctl disable firewalld

7.2 SELinux 调整

Kylin V10 一些国产化软件（CRM、ERP）经常跟 SELinux 冲突，可以临时关：

1
2
3
4


setenforce 0 # 临时
sudo vi /etc/selinux/config
# SELINUX=enforcing → SELINUX=disabled
# 重启生效

八、典型坑速查

现象	原因	处理
SSH 登录被拒	没用密钥 / 密码错 / PermitRootLogin no	配密钥或开 PermitRootLogin
`dnf install` 报 GPG 错误	麒麟官方源 GPG key 没装	`rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-kylin`
`docker-ce` 装不上 aarch64	架构不匹配	走华为云 / 麒麟自带的 docker repo
`systemctl` 服务启动失败	SELinux 拒绝访问	`ausearch -m avc -ts recent` 查拒绝日志，加 `semanage` 规则或临时关
中文文件名乱码	LANG 不是 zh_CN.UTF-8	`localectl set-locale LANG=zh_CN.UTF-8`

九、下一步

想批量部署 Kylin V10 → 走 PXE + kickstart 或国产化云平台（华为云 HECS、阿里云信创）
想做信创认证 / 适配 → 联系麒麟官方做迁移评估
想迁移到更新的版本 → 2023 年出了 Kylin V11 SP1（基线 RHEL 9 兼容）
想跟 CentOS 8 双向迁移 → 走 migrate2rocky 反向不行，需要重装 Kylin

参考资料

2024 视角：Kylin V11 已发布（2024-04），AI 时代 Kylin 走向"云端 + AI"

本文写于 2021-04-15——Kylin V10 SP3 时代。2024 视角下：

一、Kylin V10 SP3 现状

Kylin V10 SP3（2021-04）：基线 RHEL 8.4，Linux 4.19 LTS 内核。
Kylin V10 SP3 增强版（2023-04）：基线 RHEL 8.8。
2024 现状：仍占信创服务器市场 60%+——党政 / 金融 / 电信主力。

二、Kylin V11 SP1（2024-04 发布）—— 重大升级

Kylin V11 SP1（2024-04-28 正式发布）：
- 基线 RHEL 9.2 兼容
- Linux 5.10 LTS 内核
- Glibc 2.34、GCC 11+、Python 3.9 / 3.11
- UKUI 5（HiDPI 优化、Wayland 兼容）
- 完整信创生态：
  - 鲲鹏 / 飞腾 / 龙芯 / 兆芯 / 海光 全面支持
  - 国产数据库（达梦 / 人大金仓 / 神通 / 翰高）
  - 国产中间件（东方通 / 中创）
2024 推荐：新项目直接装 Kylin V11 SP1。

三、Kylin V11 的"AI 化"（2024 新增）

Kylin V11 SP1 集成 AI 助手：
- 自然语言命令：问"怎么看 CPU 使用率"→ 自动生成命令
- 智能搜索：文件系统 + 应用 + 系统设置统一搜索
- 国产 LLM 集成（与商汤 / 智谱 / 文心一言对接）
2024 视角：Kylin V11 是国内第一个集成 LLM 的桌面 OS。

四、ARM 架构 Kylin 的"主流化"

2021 那篇提了"鲲鹏 aarch64 架构"。2024 视角：

鲲鹏 920 / 930（华为）：信创服务器事实标准。
飞腾 D2000 / S2500（天津飞腾）：党政主力。
龙芯 3A5000 / 3A6000（自主 LoongArch）：自主可控。
2024 数据：ARM 架构信创服务器占新装机 50%+（鲲鹏 + 飞腾）。

1
2
3
4
5
6


# 查架构
uname -m
# aarch64 / x86_64 / loongarch64

# Kylin V11 aarch64 装机
# 镜像：Kylin-Server-11-SP1-aarch64-xxx.iso

五、国产数据库在 Kylin V11 上的"标准化"

2024 视角下，国产数据库 + Kylin V11 是信创主流组合：

达梦数据库 DM8（国产老牌）
人大金仓 KingbaseES V8（基于 PostgreSQL 12）
华为 GaussDB V2.0（兼容 MySQL / PG）
OceanBase 4.x（阿里 AntDB 衍生）
TiDB 7.x（PingCAP 国产分布式）

1
2
3
4


# 装 KingbaseES V8（RPM 装）
rpm -ivh kingbasees-8.6.0-x86_64.rpm
# 初始化
/opt/Kingbase/ES/V8/Server/bin/initdb

六、国产中间件 + 国产 JDK

国产 JDK：
- 华为毕昇 JDK 17（基于 OpenJDK，ARM 优化）
- 阿里 Dragonwell 11 / 17（基于 OpenJDK，阿里电商优化）
- 腾讯 Kona 17（基于 OpenJDK，腾讯云优化）
- 毕昇 JDK 在 Kylin + 鲲鹏上性能最优

1
2
3
4
5
6
7


# 装毕昇 JDK 17
wget https://mirrors.huaweicloud.com/kunpeng/archive/compiler/bisheng-jdk-17.0.10-linux-aarch64.tar.gz
tar -xf bisheng-jdk-17.0.10-linux-aarch64.tar.gz -C /usr/local/
ln -sf /usr/local/bisheng-jdk-17.0.10 /usr/local/jdk

export JAVA_HOME=/usr/local/jdk
export PATH=$JAVA_HOME/bin:$PATH

国产中间件：
- 东方通 TongWeb（Java EE 应用服务器）
- 中创 InforSuite（中间件全套）
- 普元 Primeton EOS（微服务平台）

七、Kylin V10 → V11 迁移

kylin-upgrade 工具（麒麟官方，2023+ 提供）：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


# 在线升级（V10 SP3 → V11 SP1）
# 1. 备份
tar -czf /backup/etc.tar.gz /etc
tar -czf /backup/home.tar.gz /home

# 2. 挂 V11 镜像
mount -o loop Kylin-Server-11-SP1-x86_64.iso /mnt

# 3. 跑升级工具
kylin-upgrade --iso /mnt --target-version 11.1.0

风险：
- 内核升级（4.19 → 5.10）→ NVIDIA 驱动 / VirtualBox 需重装
- GLIBC 升级（2.28 → 2.34）→ 老二进制可能不兼容
- 生产环境务必先做完整快照

八、Kylin V11 的云端化

Kylin V11 公有云镜像：
- 华为云 HECS（Kylin V11 是默认镜像之一）
- 阿里云 ECS（麒麟专有云板块）
- 天翼云、移动云、联通云
Kylin V11 容器镜像：
- kylinlinux/v11-sp1:latest（Docker Hub）
- K8s 部署主流：kylin:v11-sp1-minimal 跑 K8s Node

九、KernelCare Livepatch 在 Kylin V11 上

KernelCare（CloudLinux 商业）给 Kylin V10/V11 提供免重启内核安全更新：

1
2
3
4


# 装 KernelCare
rpm -ivh https://downloads.kernelcare.com/kernelcare-latest.el8.noarch.rpm
/usr/bin/kcarectl --register <license-key>
# 自动应用内核安全更新（不重启）

2024 党政信创普遍采购 KernelCare——避免重启影响业务。

十、Kylin V11 + AI 算力

2024 信创 + AI：
- 华为 Atlas 800T 训练服务器（昇腾 910 + Kylin V11）
- 天数智芯天垓 100（GPGPU + Kylin V11）
- 燧原邃思 2.0（训练芯片 + Kylin V11）
Kylin V11 + CANN 7.0（华为昇腾 AI 框架） = 国产 AI 全栈。

十一、Kylin V11 在"等保 2.0"合规上的优势

Kylin V11 默认开启：
- SELinux enforcing
- 防火墙（firewalld）
- 审计（auditd）
- 国密 SM2/SM3/SM4 内核支持
直接过等保 2.0 三级（无需额外加固）—— 党政 / 金融 / 电信首选。

十二、Kylin V11 装机"经验教训"（2024 视角）

必做：
1. 改 root 密码 + 加 SSH 密钥（/etc/ssh/sshd_config 改 PasswordAuthentication no）
2. 配国内 yum 源（华为云 / 麒麟自带）
3. 关 firewalld / iptables 调试（生产前配规则）
4. chrony 时间同步
5. 装 dnf-automatic 无人值守更新
2024 推荐架构：
- Web 服务器：Kylin V11 + Nginx 1.24 + 国产 JDK 17
- 数据库：Kylin V11 + 达梦 DM8 / 人大金仓 KingbaseES
- 中间件：Kylin V11 + 东方通 TongWeb + 国产 JDK 17
- AI 训练：Kylin V11 + 昇腾 910 + CANN 7.0 + MindSpore
Kylin 麒麟操作系统官网
Kylin V10 SP3 Release Notes
鲲鹏（Kunpeng）架构支持
信创生态白皮书
Red Hat Enterprise Linux 8 文档（命令参考）

Linux 监控与系统性能工具：top/glances/lsof/systemctl/dstat 性能观测

Tue, 15 Sep 2020 00:00:00 +0800

一、为什么是 2020 年这一份

2020 年这个时间点，Linux 系统监控进入"工具集成化"阶段：

top 3.x 仍是终端监控的入门首选
glances（2014 发布，2.x 时代）作为"一屏式综合监控"被广泛接受
dstat 替代 vmstat 成为综合 I/O / CPU / 网络监控的事实标准
systemd resource control 全面成熟（CPUQuota / MemoryLimit / IOWeight）
lsof 仍是排查"端口被谁占用"的首选
iotop 与 pidstat 形成"按进程看 I/O"的组合

这一篇覆盖 top 字段精读、glances 一屏监控、lsof 端口排查、systemctl 资源限制、五把刀（dstat/pidstat/iotop/vmstat/top）、mount 修复、时区配置——日常性能观测的"七种武器"。

阅读建议：本文是"工具集"性质——日常每个工具都要会用，遇到具体场景再回头查。

二、top 字段精读

top 是 1991 年起的"上古"工具，至今仍是 Linux 性能观测的入门首选。

2.1 启动参数

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


top --help

# -d 两次刷新间隔（秒）
# -p 只监控指定 PID
# -q 无延迟刷新（高优先级）
# -S 累计模式
# -s 安全模式
# -i 不显示闲置/僵死进程
# -c 显示完整命令行（不只命令名）

top -c -bw 512 # 显示完整命令行，输出宽度 512

2.2 字段含义

第一行：当前时间、运行时间、当前用户、CPU 平均负载（1/5/15 分钟）——“1 代表一个核心满了”

第二行：总/运行/休眠/停止/僵尸进程数

第三行：

us —— 用户空间占用 CPU%
sy —— 内核空间占用 CPU%
ni —— 用户改过优先级的进程占用
id —— 空闲
wa —— 等待 I/O
hi —— hardware IRQ
si —— software IRQ
st —— steal time（仅与虚拟机相关，被偷走的时间）

第四行：物理内存总量、空闲、已用、内核缓存

第五行：虚拟内存总量、空闲、已用、下一波分配量

进程字段：

字段	含义
`PID`	进程 ID
`USER`	进程用户名
`PR`	动态优先级（内核视角）
`NI`	静态优先级（用户视角，nice 值）
`VIRT`	虚拟内存
`RES`	物理内存
`SHR`	共享内存
`S`	状态：D 不可中断 / I idle / R 运行 / S 睡眠 / T 停止 / Z 僵尸
`%CPU` / `%MEM`	CPU / 内存占用
`TIME+`	累计 CPU 时间
`COMMAND`	命令

2.3 Java VIRT 异常大问题

Java 8+ 用 Metaspace 取代 PermGen，元空间放在 OS 本地内存。每个线程分配一个 arena（64MB），线程一多 VIRT 就巨大。这不是真用了那么多内存——用 pmap 查真实占用。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


# 按内存块大小排序
pmap -x <pid> | sort -n -k3

# 输出内存块详细信息
cat /proc/<pid>/smaps

# 通过 gdb dump 指定内存块
gdb attach <pid>
dump memory /tmp/0x7fb9b0000000-0x7fb9b3ffe000.dump 0x7fb9b0000000 0x7fb9b3ffe000

# 提取长度超过 10 字符的字符串
strings -10 /tmp/0x7fb9b0000000-0x7fb9b3ffe000.dump

2.4 常用快捷键

键	功能
`shift+m`	按内存排序
`shift+P`	按 CPU 排序
`shift+t`	按时间排序
`shift+n`	按 PID 排序
`m`	内存显示模式
`E`	内存总览单位
`e`	进程内存单位
`c`	显示完整命令行
`i`	不显示闲置
`l`	启动时间和平均负载

2.5 用户下的所有进程

1
2
3
4
5


# 查某用户进程
top -u username

# 取 top 一屏输出供管道调用
top -bn 1 -i -c | awk '{ if (NR > 6) print }' | awk '{print $1,$9}'

三、glances：一屏式综合监控

glances（2014-12 发布 2.0）被称为 htop 的"加强版"，提供一屏式综合监控（CPU / 内存 / 磁盘 / 网络 / 进程全维度）。

3.1 安装

1
2
3
4
5


yum -y install glances # CentOS
apt install -y glances # Debian/Ubuntu

# 配套：硬件温度监控
yum -y install lm_sensors

3.2 启动

1

glances

与 htop 的差异：htop 主要聚焦进程列表；glances 把 CPU / 内存 / 磁盘 / 网络 / 进程都堆在一屏里，类似 Windows 任务管理器的"详细信息"视图。

四、lsof：端口与文件排查

lsof（list open files）是"端口被谁占用"排查的首选。

4.1 安装

1
2


yum -y install lsof # CentOS
apt install -y lsof # Debian/Ubuntu

4.2 常用命令

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25


# 查 8080 端口被谁占用
lsof -i:8080

# 查谁打开了 abc.txt
lsof abc.txt

# 查 abc 进程打开的文件
lsof -c abc

# 查 PID 1234 打开的文件
lsof -c -p 1234

# 查 gid 组打开的文件
lsof -g gid

# 查 /usr/local/ 下被进程打开的文件
# +d 不递归，+D 递归
lsof +d /usr/local/
lsof +D /usr/local/

# 查 fd 为 4 的进程
lsof -d 4

# 查所有打开的端口和 UNIX domain 文件
lsof -i -U

五、systemctl 资源限制

systemd 的 resource control（cgroup 集成）能精细控制服务资源。

5.1 查看服务列表

1
2
3
4
5


# 当前已激活的服务
systemctl list-units

# 所有 unit 文件（激活 + 未激活）
systemctl list-unit-files

5.2 修改 service 后重载

1
2
3
4
5


# 重载所有 unit 文件
systemctl daemon-reload

# 重置失败状态
systemctl reset-failed 服务名

5.3 给服务加资源限制

1

systemctl edit sshd

1
2
3
4
5


[Service]
CPUQuota=20%
MemoryLimit=256M
Nice=-10
IOWeight=100

1
2


sudo systemctl daemon-reload
sudo systemctl restart sshd

字段	含义
`CPUQuota=20%`	限制最多用 20% 单核 CPU
`MemoryLimit=256M`	限制最大 256M 内存
`Nice=-10`	优先级（-20~19，越小越高）
`IOWeight=100`	IO 权重（1~10000）

5.4 区分 Ubuntu Server 与桌面

1
2


# display-manager 服务存在 = 桌面版
systemctl status display-manager

六、性能观测"五把刀"

6.1 五把刀概览

工具	用途
`top`	监控整体服务器：CPU / 内存 / 磁盘 / 网络综合
`dstat -d`	查看磁盘每秒读写量（单位 K）
`dstat -r`	查看磁盘随机的读/写 IOPS
`dstat -n`	查看网卡每秒接收/发送量（单位 K）
`pidstat`	统计各进程磁盘 I/O（也可监控 CPU 和内存）
`iotop`	类似 top，但只看 I/O 相关的进程
`vmstat`	监控 I/O 活跃的进程、内存、CPU

6.2 实战组合

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20


# 整体情况
top -c

# 磁盘读写
dstat -d

# 随机 IOPS
dstat -r

# 网络流量
dstat -n

# 各进程磁盘 I/O
pidstat -d 1

# I/O 排行
iotop

# 虚拟内存/IO 活跃
vmstat 1

七、磁盘挂载故障

7.1 重新挂载

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 1. 卸载（如果有进程占用，先 fuser -m -k）
mount /dev/sdb /home

# 2. 查 UUID
blkid

# 3. 写 fstab
echo UUID=3cef6fe2-3899-463a-a0cb-2477765fb446 /media/dell/data ext4 nodev,nosuid 0 2 >> /etc/fstab

# 4. 重启
reboot

7.2 fstab 配错 SSH 连不上

如果 fstab 写错导致机器起不来，SSH 连不上。两种处理：

云控制台 VNC 登录 —— 直接进系统改 fstab
Live CD 启动 —— 挂载原系统盘，编辑 /etc/fstab

预防：写 fstab 之前先 mount -a 测试一下，mount -a 会按 fstab 把所有文件系统都挂一遍。

八、时区配置

1
2
3
4
5
6
7
8
9


# 查时区
timedatectl
date

# 改时区
timedatectl set-timezone Asia/Shanghai

# 老方法：直接覆盖 localtime
cp /usr/share/zoneinfo/Asia/Shanghai /etc/localtime

为什么用 timedatectl：systemd 时代 timedatectl 会自动同步 RTC，且与 NTP 服务联动。直接覆盖 /etc/localtime 简单粗暴但可能让 systemd 状态错乱。

九、systemctl 启动 Java 微服务

写一个 service 文件让 Java 程序由 systemd 管理：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28


# 1. 写启动脚本
vim /home/project/safety/sh/gateway.sh
vim /home/project/safety/sh/bash.sh
vim /home/project/safety/sh/chemistry.sh

# 2. 写 service 文件
vim /etc/systemd/system/gateway.service
vim /etc/systemd/system/base.service
vim /etc/systemd/system/chemistry.service

# 3. 重载 + 启动
systemctl daemon-reload
systemctl start gateway
systemctl start base
systemctl start chemistry

# 4. 停止
systemctl stop gateway
systemctl stop base
systemctl stop chemistry

# 5. 失败重置
systemctl reset-failed gateway

# 6. 卸载
rm -rf /etc/systemd/system/gateway.service
rm -rf /etc/systemd/system/base.service
rm -rf /etc/systemd/system/chemistry.service

service 文件模板：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13


[Unit]
Description=Gateway Service
After=network.target

[Service]
Type=simple
User=root
ExecStart=/home/project/safety/sh/gateway.sh
Restart=always
RestartSec=10

[Install]
WantedBy=multi-user.target

十、卸载旧版 Java

1
2
3
4


# CentOS
rpm -qa | grep java | xargs rpm -e --nodeps
rpm -qa | grep jdk | xargs rpm -e --nodeps
rpm -qa | grep gcj | xargs rpm -e --nodeps

Ubuntu/Debian：apt remove --purge openjdk-* + apt autoremove。

十一、前置知识 / 下一步

想看 iotop / dstat / vmstat 详细用法 → man iotop / man dstat / man vmstat
想看 Prometheus + Grafana 监控栈 → 翻本系列《Linux 监控告警：Prometheus 全家桶》（系列其他文章）
想看 cgroup 原理 → 翻独立文章
想看 systemd 高级用法（target、socket 激活）→ 翻独立文章

十二、参考资源

man top / man glances / man lsof / man dstat / man pidstat / man iotop / man vmstat
systemd.resource-control 文档：https://www.freedesktop.org/software/systemd/man/systemd.resource-control.html
Linux Performance Observability（Brendan Gregg）：http://www.brendangregg.com/linuxperf.html
BCC / bpftrace 工具集：https://github.com/iovisor/bcc

2024 视角：从"工具集"到"观测平台"

2020 年这套"五把刀 + glances + lsof"在 2024 年仍是单机排查的速查。但 2024 主流是 eBPF + 观测平台：

一、eBPF 已经成为 Linux 监控的"基础设施"

2020 → 2024 这 4 年里，eBPF 从"前沿技术"变成"事实标准"：

Cilium（CNI）+ Hubble（eBPF 网络可观测性）已成 K8s 网络主流
Pixie（New Relic 开源）直接用 eBPF 抓应用 trace
bpftrace（2020 文章已经提到）从 0.9 升到 0.16+，单行命令就能看内核状态：

1
2
3
4
5


# 看哪些进程在 5 秒内读了 /etc/passwd
bpftrace -e 'tracepoint:syscalls:sys_enter_openat /arg2->filename == "/etc/passwd"/ { printf("%s [%d]\n", comm, pid); }'

# 跟踪 TCP 重传统计
bpftrace -e 'kprobe:tcp_retransmit_skb { @retrans[comm] = count(); }'

二、`bpftool` + `bcc` 工具集更全

BCC 工具集（2020 提过）已经 100+ 工具，2024 必装：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


apt install bpfcc-tools linux-headers-$(uname -r) linux-tools-$(uname -r)

# 看 CPU 调度延迟
/usr/share/bcc/tools/runqlat

# 看 4 层级网络延迟
/usr/share/bcc/tools/netqtop eth0

# 看进程页错误
/usr/share/bcc/tools/sofdsnoop

替代了大部分 2020 那篇提到的"五把刀"——runqlat 比 pidstat 更细，tcpconnect 比 ss | grep 更实时。

三、systemd 资源控制的"v2 时代"

systemd 252+（2022-10）在资源控制上做了大量增强：

MemoryHigh（软上限，超过触发回收，不杀进程）
MemoryMax（硬上限，OOM 杀手）
IOReadBandwidthMax / IOWriteBandwidthMax（IO 带宽）
CPUWeight（cgroup v2 的 CPU 权重，比 quota 灵活）
IPAccounting + IPAddressAllow / IPAddressDeny（网络白名单）

1
2
3
4
5
6
7


[Service]
MemoryHigh=1G
MemoryMax=2G
CPUWeight=200
IOReadBandwidthMax=/var/lib/mysql 200M
IPAddressAllow=10.0.0.0/8
IPAddressDeny=any

四、`top` 的 2024 替代品

htop 3.x（2022 起的活跃版）：彩色 + 鼠标 + 树状折叠。
btop（2021 推出，2024 仍是 C++ 写的最"美"的终端监控）：CPU/内存/磁盘/网络/温度全屏 sparkline。
gtop（Node.js 写的同类）。
atop（老牌但 2024 仍是"事后分析"王者）：日志记录 + 回放。

1
2
3
4
5


# atop 录到日志，事后看
atop -w /var/log/atop.log 5

# 回放
atop -r /var/log/atop.log

五、Prometheus 仍是 2024 事实标准

2020 那篇提到 Prometheus + Grafana 监控栈是"系列其他文章"。到 2024 年：

Prometheus 2.50+（2024）支持远程写入（Remote Write 2.0）+ Agent Mode（无状态 agent）。
OpenTelemetry（OTel） 已经是 Metrics / Traces / Logs 统一标准，Prometheus 通过 OTLP 接收 trace。
VictoriaMetrics / Thanos / Mimir 是 Prometheus 长期存储的三大选择。
Grafana 10+（2024）原生支持 drill-down link / Explore / Alerting 集成。

六、生产环境监控的"完整架构"

1
2
3
4
5
6
7


[主机 / 容器] → node_exporter / otel-collector
 ↓ remote write
 [Prometheus / VictoriaMetrics]
 ↓ PromQL
 [Grafana 仪表盘] + [Alertmanager 告警]
 ↓
 [钉钉 / 企微 / 飞书 / PagerDuty]

单机时代用 top + glances + iotop 是"万金油"；2024 的微服务 / K8s 时代已经必须走这套观测平台。

CentOS 8 EOL 善后：换源 vault.centos.org、时间同步与时区设置

Sun, 15 Sep 2019 00:00:00 +0800

一、为什么 2019 年要聊 CentOS 8

CentOS 8.0 正式发布是 2019-09-24——RHEL 8.0 GA 后的 CentOS 重建版。本文写于 2019-09-15，相当于 CentOS 8 正式发布前一周。但文章真正"管用"的时间是 2022 年 1 月 31 日之后——那天 CentOS 团队把 CentOS 8 的所有包从 mirror.centos.org 移到 vault.centos.org，已经装好的 CentOS 8 跑 yum 会全部报：

1

Error: Failed to download metadata for repo 'appstream': Cannot prepare internal mirrorlist: No URLs in mirrorlist

时间线：

2019-09-24：CentOS 8.0 GA

2020-12-08：CentOS 宣布战略调整，CentOS 8 提前 EOL

2021-12-31：CentOS 8 EOL（生命周期结束）

2022-01-31：包从 mirror.centos.org 移到 vault.centos.org

2021-05-12：Rocky Linux 8.3 RC1 发布

2021-05-18：AlmaLinux 8.3 正式发布

新机器建议直接上 Rocky Linux 9 / AlmaLinux 9 / Oracle Linux 9——跟 CentOS 8 / 7 生态兼容，迁移成本最低。本篇只解决"已经上了 CentOS 8 又不想重装"的善后问题。

二、CentOS 8 EOL 后 yum 报错的修复

症状（2022-01-31 后）：

1
2


sudo yum update
# Error: Failed to download metadata for repo 'appstream': Cannot prepare internal mirrorlist: No URLs in mirrorlist

根因：CentOS 8 已经 EOL，包从 mirror.centos.org 移走，但 /etc/yum.repos.d/CentOS-*.repo 还指向 mirror.centos.org。

2.1 一次性 sed 改源

1
2


sudo sed -i -e "s|mirrorlist=|#mirrorlist=|g" /etc/yum.repos.d/CentOS-*
sudo sed -i -e "s|#baseurl=http://mirror.centos.org|baseurl=http://vault.centos.org|g" /etc/yum.repos.d/CentOS-*

这两条命令做的事：

把所有 mirrorlist= 注释掉（#mirrorlist=）
把 #baseurl=http://mirror.centos.org 替换成 baseurl=http://vault.centos.org

2.2 验证

1
2
3


sudo yum clean all
sudo yum makecache
sudo yum update

如果 vault.centos.org 也访问不到（更老的版本），可以临时改 https://mirrors.aliyun.com/centos-vault/8.x.x/... 阿里云镜像，但只限能联网的服务器。

坑提醒：vault.centos.org 没有 HTTPS-only 限制，但没有签名验证——意味着如果源被劫持，包可能被替换。生产环境建议尽快迁移到 Rocky/Alma/Oracle Linux。

三、CentOS 8 的 dnf 包管理器

CentOS 8 弃用了 yum（虽然命令还能用），新工具是 dnf——兼容 yum 4.x 系列，大部分命令一致。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17


# 装包
sudo dnf install -y <package>

# 查包
dnf search <keyword>
dnf info <package>

# 列出已装
dnf list installed

# 卸包
sudo dnf remove <package>

# 仓库管理
sudo dnf config-manager --add-repo https://example.com/repo.repo
sudo dnf config-manager --set-enabled <repo-id>
sudo dnf config-manager --set-disabled <repo-id>

CentOS 8 默认有两个主仓库：

BaseOS：核心 OS 包（kernel、systemd、bash 等）
AppStream：应用流（多个 Python / Node.js 版本可并存）

应用流（Module）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


# 查可用 python 模块
sudo dnf module list python

# 装 Python 3.9（默认）
sudo dnf module install python39

# 切到 Python 3.6
sudo dnf module reset python
sudo dnf module enable python36
sudo dnf install python3

坑提醒：dnf module 的"版本"切换是全系统的——切换后所有 dnf 装的 Python 都用这个版本。多 Python 版本请用 conda 或源码编译。

四、时间同步：ntpdate / chrony

CentOS 7 用 ntpdate + crontab。CentOS 8 改用 chrony（chronyd daemon），开机自启：

1
2
3
4
5


systemctl status chronyd
# Active: active (running)

chronyc sources -v
# 查 NTP 源状态

4.1 想用回 ntpdate 风格

2019-2020 那段时间国内服务器常用 wlnmp 源（https://mirrors.wlnmp.com/centos/wlnmp-release-centos.noarch.rpm）一次性装 wntp：

1
2
3


rpm -ivh https://mirrors.wlnmp.com/centos/wlnmp-release-centos.noarch.rpm
dnf install wntp
ntpdate ntp1.aliyun.com

坑提醒：wlnmp-release 包没有 GPG 签名验证——商用生产环境慎用，仅适合临时调试。

4.2 配阿里云 NTP

1
2
3
4
5
6
7
8
9


vi /etc/chrony.conf
# 注释掉默认的 pool，改成阿里云
# pool 2.centos.pool.ntp.org iburst
server ntp1.aliyun.com iburst
server ntp2.aliyun.com iburst
server ntp3.aliyun.com iburst

systemctl restart chronyd
chronyc sources -v

五、时区设置

timedatectl 是 CentOS 7+ 标准的时区工具。

5.1 看当前时区

1
2
3
4
5
6
7
8


timedatectl status
# Local time: Thu 2026-06-04 12:34:56 CST
# Universal time: Thu 2026-06-04 04:34:56 UTC
# RTC time: Thu 2026-06-04 04:34:56
# Time zone: Asia/Shanghai (CST, +0800)
# NTP enabled: yes
# NTP synchronized: yes
# RTC in local TZ: no

5.2 改时区

1
2
3


sudo timedatectl set-timezone Asia/Shanghai
date
# Thu Jun 4 12:34:56 CST 2026

5.3 列出所有时区

1
2
3
4
5
6


timedatectl list-timezones | grep Asia
# Asia/Shanghai
# Asia/Hong_Kong
# Asia/Tokyo
# Asia/Singapore
# ...

5.4 手动改时间（一般不要）

1

sudo timedatectl set-time '2026-06-04 12:34:56'

改完时间记得 hwclock --systohc 把系统时间写回硬件时钟，否则重启就丢。

六、CentOS 8 → Rocky / AlmaLinux 迁移

如果想保住 CentOS 8 的环境又不想重装，官方提供 migrate2rocky / almalinux-deploy 脚本：

1
2
3
4
5
6


# Rocky Linux 迁移
curl -O https://raw.githubusercontent.com/rocky-linux/rocky-tools/main/migrate2rocky/migrate2rocky.sh
chmod +x migrate2rocky.sh
sudo bash migrate2rocky.sh -r
# 重启
sudo reboot

1
2
3
4


# AlmaLinux 迁移
sudo dnf install -y almalinux-deploy
sudo almalinux-deploy
sudo reboot

坑提醒：迁移脚本会改一堆包，包括内核、grub、repo。迁移前一定要做快照（云盘 / LVM 快照），回退成本高。

七、典型坑速查

现象	原因	处理
`yum update` 报 “No URLs in mirrorlist”	CentOS 8 EOL 后 mirror.centos.org 失效	走 §2.1 sed 改源
`dnf install` 报包冲突	Module 多版本并存	`dnf module reset <mod>` 再装
`chronyc sources` 显示 `??`	NTP 服务器不可达	改 `chrony.conf` 加阿里云 NTP
时间不准	没装 chronyd / 时区不对	装 chronyd + `timedatectl set-timezone`
迁移 Rocky 失败	网络 / 仓库访问	配阿里云 Vault 源后重试

八、下一步

想从 CentOS 8 直接迁到 Rocky 9 / Alma 9 → 走 migrate2rocky 或重装（重装最稳）
想继续留 CentOS 7 → 7 已 2024-06-30 EOL，尽快迁出
想换更现代的发行版 → Ubuntu 22.04 LTS / Debian 12
想学 K8s 时间同步最佳实践 → 容器里别用宿主机的本地时间，用 NTP 或 sidecar

参考资料

2024 视角：CentOS 8 时代早已过去，Rocky / Alma 9 才是"未来"

本文写于 2019-09-15（CentOS 8 GA 前一周），2024 视角下 CentOS 8 已 EOL 3 年。本文的方法在 vault 源上仍管用，但新项目早应该迁到 Rocky / Alma 9。

一、CentOS 8 EOL 时间线回顾

2019-09-24：CentOS 8.0 GA
2020-12-08：CentOS 战略调整公告（CentOS 8 提前 EOL，CentOS 转向 Stream）
2021-12-31：CentOS 8 EOL（生命周期结束，比原计划 2029-05 提前 7.5 年）
2022-01-31：包从 mirror.centos.org 移到 vault.centos.org
2024-06-30：CentOS 8 走完 6 个月的 ELS（Extended Lifecycle Support）

2024 视角：CentOS 8 完全没有安全更新——必须迁出。

二、`vault.centos.org` 2024 状态

2024-06-30 后：vault.centos.org 仍可访问，但仅供归档查询。
生产环境仍用 CentOS 8 = 裸奔在公网。
不推荐继续用 vault.centos.org 做生产源——无 GPG 签名验证（包可能被劫持）。

三、dnf 包管理器的"2024 现状"

2019 那篇介绍了 CentOS 8 的 dnf 4.x。2024 视角：

dnf 5（2024-03 在 Fedora 40 首次 GA，RHEL 9.4+ 默认）—— 完全重写：
- 基于 libsolv（比 dnf 4 的 hawkey 快 10 倍）
- Python 3.12+ 替代 Python 3.6
- 新命令：dnf install 改成 dnf install（不变）但有 dnf5 install
- 更严格的依赖解析

1
2
3
4
5
6
7


# 2024 dnf 5 用法
dnf5 --version
# 5.1.12

dnf5 install nginx
dnf5 remove nginx
dnf5 search python

四、chrony 在 2024 仍是 NTP 默认

2019 那篇的 chrony 配置 2024 仍管用。2024 新增：

chrony 4.5+（2024-02 起）：支持 NTS（Network Time Security）—— 加密的 NTP 协议。

1
2
3
4


# /etc/chrony.conf
# 启用 NTS
ntsserver ntp1.aliyun.com
ntsserver time.cloudflare.com

NTS 比传统 NTP 更安全（防中间人篡改时间）。

五、timedatectl 的"现代"用法

2019 那篇给的 timedatectl set-timezone Asia/Shanghai 2024 仍管用。2024 增强：

NTP 同步 + RTC 同步：

1
2
3
4
5
6
7
8


# 看同步状态
timedatectl show-timesync
# SystemNTPServers=ntp1.aliyun.com
# SystemNTPSynchronized=yes
# RTCInLocalTZ=no

# 强制 RTC 用 UTC（避免时区混乱）
timedatectl set-local-rtc 0

六、CentOS Stream 8 → Rocky / Alma 8 的迁移

2019 那篇只是"保留旧系统"。2024 主流：

migrate2rocky.sh 脚本（Rocky Linux 官方）：

1
2
3
4
5
6
7
8
9


# CentOS Stream 8 → Rocky Linux 8
curl -O https://raw.githubusercontent.com/rocky-linux/rocky-tools/main/migrate2rocky/migrate2rocky.sh
chmod +x migrate2rocky.sh
sudo bash migrate2rocky.sh -r

# 重启
sudo reboot
uname -r
# Rocky Linux 8.x

almalinux-deploy 脚本（AlmaLinux 官方）：

1
2


sudo dnf install -y almalinux-deploy
sudo almalinux-deploy

七、CentOS Stream 的"真实价值"

2019 那篇 CentOS Stream 8 还没出。
CentOS Stream 8/9（2021+）：RHEL 的"上游开发版"—— 比 RHEL 早 1-2 个 minor 版本。
2024 视角：
- 生产环境：不用 CentOS Stream（不稳定），用 Rocky / Alma 9。
- 开发环境：CentOS Stream 9 可以体验"未来 RHEL"。
- CI/CD 测试：RHEL UBI（Universal Base Image，2020+）—— 在容器里跑 RHEL。

八、AlmaLinux / Rocky / Oracle 三选一

Rocky Linux：CIQ 公司主导，社区最活跃。
AlmaLinux：CloudLinux 公司主导，外企用得多。
Oracle Linux：Oracle 公司主导，企业级支持（UEK 内核自研）。
2024 市场份额：
- Rocky Linux ~ 35%
- AlmaLinux ~ 30%
- Oracle Linux ~ 20%
- CentOS Stream ~ 15%

九、CentOS 8 的"运维遗物"：`dnf module`

2019 那篇提到 dnf module。2024 状态：

dnf module 在 Rocky / Alma 9 仍存在（继承自 RHEL 8 AppStream）。
2024 趋势：用 pyenv / conda / uv 装 Python，不用 dnf module install python39。
应用流（Module）示例（2024 仍可用）：

1
2
3
4


# Node.js 多版本（dnf module）
dnf module list nodejs
dnf module enable nodejs:18
dnf install nodejs

十、CentOS 8 EOL 后的"实践教训"

2019 → 2024 五年间，CentOS 经历了：
- GA（2019-09）
- 战略调整（2020-12）
- 提前 EOL（2021-12）
- 完全归档（2024-06）
教训：
- 不要把生产系统"绑死"在单一发行版—— 用 Docker / 容器化
- 订阅 Red Hat 或 商业支持（Alma / Rocky / Oracle）—— 别用"免费无支持"的 CentOS
- 新项目永远用"未来 5 年有支持"的发行版
- 2024 推荐：
  - 服务器：Rocky / Alma / Oracle 9（支持到 2027-2029）
  - 桌面 / 开发：Ubuntu 24.04 LTS（支持到 2029-04）
  - 容器：Distroless / Alpine / UBI（无 OS 依赖）

Linux 用户管理与安全加固：账号管理、登录审计、chattr 防删与定时任务

Fri, 15 Mar 2019 00:00:00 +0800

一、为什么是 2019 年这一份

2019 年这个时间点前后，Linux 服务器安全进入"主动防御"阶段：

sshd 密码爆破已经是常态，单一 IP 每分钟几千次尝试
挖矿病毒大规模爆发（2017-2019 持续增长），chattr +i 防删成为应急标配
Linux 用户管理的工具集基本稳定：useradd / usermod / userdel / passwd / last / lastlog
systemd 全面接管服务管理，crontab 仍有"定时任务"位置但已被 systemd timer 部分替代

这一篇覆盖用户账号管理、登录审计、异常文件排查、chattr 防删与挖矿应急、cron 故障排查——一个系统管理员面对"被入侵后该怎么排查"的全套流程。

阅读建议：本文是"应急手册"性质——日常不需要看，但出事时第一份要翻的文档。

二、用户账号管理

2.1 查用户信息

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15


# 后面第二个冒号的值大于 1000 时，这个就是一个普通用户
cat /etc/passwd | cut -d: -f 1-3
# dell:x:1000

# 各用户最近登录
lastlog
# 用户名 端口 来自 最后登录时间
# root pts/0 <IP> 三 12月 13 08:36:29 +0800 2023
# dell pts/0 <IP> 二 12月 12 21:07:11 +0800 2023

# 更新指定用户密码
passwd dell
# 新的密码：
# 重新输入新的密码：
# passwd：已成功更新密码

2.2 删除用户

1
2
3
4
5


# 仅删除用户（保留家目录）
userdel username

# 删除用户并删除家目录
userdel -r username

2.3 切换用户不可用时

如果某个用户 SSH 进去后 su 切不到，可能是 shell 被改成 /sbin/nologin：

1
2
3
4
5
6


# 方法一
usermod -s /bin/bash root

# 方法二：直接编辑 /etc/passwd
vi /etc/passwd
# 找到要修改的用户，将 /sbin/nologin 改成 /bin/bash

三、登录审计：被入侵后的第一件事

3.1 查特权用户

1
2


# UID = 0 的都是 root 等价账号
awk -F ":" '$3==0{print $1}' /etc/passwd

3.2 查可远程登录的账号

1
2


# 密码字段是 $1（MD5）/ $5（SHA-256）/ $6（SHA-512）的都有密码
awk '/\$1|\$6/{print $1}' /etc/shadow

3.3 查当前登录用户

1
2


w
# 显示当前登录用户和他们正在执行的命令

3.4 查最近登录

1
2


last
# 显示所有用户的登录/注销信息 + 系统的启动/重启/关机事件

3.5 查登录成功的记录

1
2


# 从 /var/log/secure 提取 Accepted 行
grep "Accepted " /var/log/secure* | awk '{print $1,$2,$3,$9,$11}'

3.6 查爆破 IP

1
2
3
4
5
6
7
8


# 查 sshd 拒绝的 IP
grep refused /var/log/secure* | awk {'print $9'} | sort | uniq -c | sort -nr | more

# 查 Failed password 的 IP
grep "Failed password" /var/log/secure* | grep -E -o "(([0-9]{1,3})\.([0-9]{1,3})\.([0-9]{1,3})\.([0-9]{1,3}))" | uniq -c

# 查爆破 root 的 IP
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort

3.7 查爆破的用户名字典

1

grep "Failed password" /var/log/secure | awk {'print $9'} | sort | uniq -c | sort -nr

四、异常文件排查

4.1 查 cron 是否有恶意脚本

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


# 检查所有 cron 文件
/var/spool/cron/*
/etc/crontab
/etc/cron.d/*
/etc/cron.daily/*
/etc/cron.hourly/*
/etc/cron.monthly/*
/etc/cron.weekly/*
/etc/anacrontab
/var/spool/anacron/*

4.2 查最近被修改的系统文件

1
2


find /etc/ /usr/bin/ /usr/sbin/ /bin/ /usr/local/bin/ \
 -type f -mtime -T | xargs ls -la

-T 是要替换的天数。比如 -mtime -7 是 7 天内被修改的文件。

4.3 查最近被替换的命令

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


# 按时间排序
ls -alt /usr/bin /usr/sbin /bin /usr/local/bin

# 用 rpm 校验包内文件（CentOS/RHEL）
rpm -Va > rpm.log
# 重点看 S、M、5、T 标记异常的
# S - 文件大小变化
# M - 模式变化（含权限）
# 5 - MD5 校验和变化
# T - 修改时间变化

4.4 查异常开机启动项

1
2
3


cat /etc/rc.local
chkconfig --list # CentOS 6
systemctl list-unit-files --type=service # CentOS 7+

五、查杀病毒和 rootkit

工具	用途	下载
`chkrootkit`	查杀 rootkit	http://www.chkrootkit.org
`rkhunter`	查杀 rootkit	http://rkhunter.sourceforge.net
`clamav`	查杀病毒	http://www.clamav.net/download.html
`cloudwalker`	查杀 webshell	http://github.com/chaitin/cloudwalker

六、挖矿病毒应急：`chattr +i` 防删与解除

6.1 现象：文件无法删除

挖矿病毒感染后常见现象：自己生成的 SSH 公钥、cron 文件、挖矿程序二进制都"加锁"了，rm 删不掉。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


# 找挖矿进程
top

# 找到 exe 路径
ls -l /proc/<pid>

# 查属性（有 i / a 之类的是被锁住了）
lsattr 文件名

# 添加属性（之后 rm 删不掉）
chattr -R +i ./test*

# 删除属性（运行完下面就能删了）
chattr -R -i ./test*

6.2 全局清理流程

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20


# 1. 杀进程
ps aux | grep -v grep | grep 挖矿进程名 | awk '{print $2}' | xargs kill -9
# 或
pkill -9 -f 挖矿特征

# 2. 删用户（带 -r 清空家目录）
pkill -u 挖矿用户名 && userdel -f 挖矿用户名
rm -rf /home/挖矿用户名

# 3. 查 SSH 登录的挖矿用户进程
netstat -antp | grep sshd
# 拿到 PID
ps -ef | grep ssh | grep -v grep | awk '{print $2}' | xargs kill -9

# 4. 查可登录的 shell
cat /etc/passwd | grep -v nologin | grep -v halt | grep -v shutdown | \
 awk -F":" '{ print $1"|"$3"|"$4 }' | more

# 5. 改 root 密码
passwd root

6.3 查 sshd 上的可疑连接

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 当前仍在线的
last -a | grep -i still
# root pts/0 Thu Jul 18 05:40 still logged in <IP>
# reboot system boot Sat Jul 6 07:23 still running 5.15.0-113-generic

# 用 ss / netstat
ss | grep -i ssh
# tcp ESTAB 0 64 <本机>:ssh <攻击者IP>:2316

netstat -tnpa | grep 'ESTABLISHED.*sshd'
# tcp 0 0 <本机>:22 <攻击者IP>:2316 ESTABLISHED <pid>/sshd: root@

6.4 查进程工作目录

1
2
3


ps -ef | grep ssh
pwdx <pid>
ll /proc/<pid>/cwd

七、docker stats 查容器资源占用

挖矿病毒有时会跑在容器里：

1
2
3
4
5
6
7


# 按内存排序
docker stats --no-stream --format "table {{.Name}}\t{{.Container}}\t{{.MemUsage}}" | \
 sort -k 3 -h

# 按内存逆序
docker stats --no-stream --format "table {{.Name}}\t{{.Container}}\t{{.CPUPerc}}\t{{.MemUsage}}" | \
 sed '1d' | sort -k 4 -h -r

八、定时任务不生效的排查

cron 任务"配了不跑"是常见故障，按以下顺序排查：

8.1 权限问题

1

chmod +x /home/docker/mysql/mysqlbak.sh

8.2 时区问题

1
2
3
4
5
6
7
8
9


# 看时区
date
timedatectl

# 改时区
timedatectl set-timezone Asia/Shanghai

# 同步时区文件
cp /usr/share/zoneinfo/Asia/Shanghai /etc/localtime

8.3 服务状态

1
2


systemctl status cron
systemctl status crond

8.4 看日志

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


# /var/log/cron 不存在？打开 rsyslog 记录
vim /etc/rsyslog.d/50-default.conf
cron.* /var/log/cron.log

# 重启 rsyslog
systemctl restart rsyslog

# 看 cron 日志
less -10 /var/log/cron.log

# 重载
service cron reload

8.5 Ubuntu 的 auth.log 噪声

Ubuntu 经常有大量 CRON 噪音日志刷屏：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 打开 /etc/pam.d/common-session-noninteractive
# 找到这一行
# session required pam_unix.so
# 在上面加一行
session [success=1 default=ignore] pam_succeed_if.so service in cron quiet use_uid

# 重启 cron
/etc/init.d/cron restart

# 清空日志
cat /dev/null > /var/log/auth.log

九、用户清理（离职交接）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


# 1. 列出当前所有可登录账号
cat /etc/passwd | grep -v nologin | grep -v false

# 2. 杀该用户的所有进程
pkill -u username

# 3. 删用户 + 清空家目录
userdel -r username

# 4. 验证
id username
ls -la /home/username

十、安全基线检查清单

检查项	命令
特权用户	`awk -F":" '$3==0{print $1}' /etc/passwd`
空密码账号	`awk -F: '($2 == "") {print $1}' /etc/shadow`
最近 7 天被改的文件	`find /etc /usr -mtime -7 -ls`
异常 cron	`ls -la /etc/cron.* /var/spool/cron/`
SSH 端口暴露	`ss -tnlp
防火墙	`iptables -L -n`
登录失败次数	`lastb
公开密钥	`find / -name "authorized_keys" -ls 2>/dev/null`

十一、前置知识 / 下一步

想看 iptables / ufw 防火墙配置 → 翻独立文章
想看 fail2ban 防爆破 → 翻独立文章
想看 GVM 漏洞扫描 → 翻本系列《Linux 安全：挖矿病毒与漏洞扫描》
想看日志集中分析（ELK / Loki）→ 翻独立文章
想看 SELinux / AppArmor → 翻独立文章

十二、参考资源

man useradd / man usermod / man userdel / man passwd
man last / man lastlog / man w
man chattr / man lsattr
man cron / man crontab / man at
Linux 服务器安全基线（等保 2.0）：https://www.djbh.net/ 等
ATT&CK for Linux：https://attack.mitre.org/matrices/enterprise/linux/

2024 视角：用户管理与安全加固的"现代姿势"

2019 那篇是单台服务器安全加固的速查。2024 在云原生 + 等保 2.0 + 零信任背景下，思路有几处大变化。

一、systemd 替代 crontab（“定时任务"领域）

2019 那篇大段讲 cron 故障排查。2024 主流做法是 systemd timer（journal 日志统一管理 + 资源隔离）：
迁移案例：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20


# /etc/systemd/system/backup.service
[Unit]
Description=数据库备份
Wants=backup.timer

[Service]
Type=oneshot
User=backup
ExecStart=/home/backup/db-backup.sh

# /etc/systemd/system/backup.timer
[Unit]
Description=每天 03:00 跑备份

[Timer]
OnCalendar=*-*-* 03:00:00
Persistent=true

[Install]
WantedBy=timers.target

1
2
3


systemctl daemon-reload
systemctl enable --now backup.timer
systemctl list-timers

二、`/var/log/secure` 改名 → journald

2019 那篇所有"看 secure / wtmp / btmp“的命令，在 RHEL 8/9、Ubuntu 22.04+ 都用 journald 替代：

1
2
3
4
5
6
7
8


# SSH 登录成功
journalctl -u sshd -g "Accepted publickey" --since "1 day ago"

# SSH 登录失败
journalctl -u sshd -g "Failed password" --since "1 hour ago" -o json | jq -r '.__REALTIME_TIMESTAMP as $t | .MESSAGE'

# 实时跟踪
journalctl -u sshd -f

/var/log/btmp 这种二进制日志（lastb 用）保留，但默认写到 journal，需要 journalctl --list-boots + last -f /var/log/wtmp。

三、密码爆破的"现代对抗”：fail2ban → CrowdSec

2019 那篇给的 fail2ban 仍是有效工具。
2024 主流：CrowdSec（Go 写的现代版 fail2ban）——社区共享 IP 黑名单：

1
2
3
4
5


# 装
curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.deb.sh | sudo bash
sudo apt install crowdsec
sudo apt install crowdsec-firewall-bouncer-iptables
# 自动接管 SSH/Nginx/Apache 防护

优势：通过 bouncer 把攻击 IP 报到中心服务器，整个社区的人都在用同一个黑名单。
fail2ban 还在用，但 2024 越来越多部署同时跑 fail2ban（老牌稳）+ CrowdSec（社区黑名单）。

四、挖矿病毒对抗 2024 升级版

2019 那篇给的"挖矿进程 → chattr +i 防删 → pkill"流程在 2024 仍管用，但挖矿病毒已经升级：

rootkit 隐藏：用 LD_PRELOAD 替换系统调用，让 top / ps 看不到。
容器逃逸：挖矿病毒跑在容器里，宿主机 top 看不到。
K8s 挖矿：用 RBAC 权限漏洞（提权到 cluster-admin），挖整个集群。

2024 升级的排查：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17


# 1. 查被劫持的动态库
cat /etc/ld.so.preload
ls -la /etc/ld.so.preload

# 2. 用 busybox / static 工具替代被劫持的 top/ps
# busybox top
# busybox ps

# 3. chkrootkit / rkhunter 仍管用
apt install rkhunter
rkhunter --check

# 4. 用 eBPF 工具（2020 那篇已提）查隐藏进程
bpftrace -e 'tracepoint:sched:sched_process_exec { printf("%s\n", comm); }'

# 5. K8s 场景：用 Falco（容器运行时安全）
helm install falco falcosecurity/falco

五、登录审计的"现代告警”：Sudo 审计 + PAM 增强

2019 那篇主要看 last / wtmp。2024 强化：
Sudo 审计（/var/log/audit/audit.log 或 journald）：

1
2
3
4
5
6
7
8


# 查谁 sudo 了
journalctl _AUDIT_TYPE_NAME=1100 -g "EXECVE" --since today

# 或直接 auditd
ausearch -m USER_CMD -ts today

# 实时跟踪 sudo
auditctl -w /usr/bin/sudo -p x -k sudo_audit

PAM 强制 MFA（多因素认证）：

1
2


apt install libpam-google-authenticator
google-authenticator # 给用户配置 TOTP

1
2


# /etc/pam.d/sshd 加一行
auth required pam_google_authenticator.so

六、SSH 安全基线 2024 升级版

2019 那篇提到 PasswordAuthentication no / PermitRootLogin no，2024 主流加固：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23


# /etc/ssh/sshd_config.d/00-hardening.conf
Protocol 2
PermitRootLogin no
PasswordAuthentication no
PubkeyAuthentication yes
ChallengeResponseAuthentication no
KbdInteractiveAuthentication no
UsePAM yes
X11Forwarding no
PrintMotd no
AcceptEnv LANG LC_*
MaxAuthTries 3
MaxSessions 3
ClientAliveInterval 300
ClientAliveCountMax 0
LoginGraceTime 30
AllowUsers deployer admin
AllowGroups ssh-users
# 强制只接受 ed25519
HostKey /etc/ssh/ssh_host_ed25519_key
# 禁 DSA / RSA-SHA1
HostKeyAlgorithms ssh-ed25519,rsa-sha2-512,rsa-sha2-256
PubkeyAcceptedAlgorithms ssh-ed25519,rsa-sha2-512,rsa-sha2-256

1
2


systemctl restart sshd
sshd -T | grep -E "hostkey|pubkey|password" # 验证

七、容器时代的安全基线

2019 那篇的所有工具针对单台物理机 / 虚拟机。
2024 大量生产环境是 Docker / K8s——chattr +i 在容器里不生效（容器没有真正的 root 权限到 host fs）。
容器化场景的安全工具：
- Trivy / Grype（镜像漏洞扫描）
- Falco（运行时入侵检测）
- OPA / Kyverno（策略引擎，限制容器能做什么）
- Cosign（镜像签名，验证镜像来源）

1
2
3
4
5


# Trivy 扫描镜像
trivy image nginx:1.25

# Falco 检测异常
kubectl apply -f https://raw.githubusercontent.com/falcosecurity/falco/master/deploy/k8s-with-helm/falco.yaml

Linux Shell 与编辑器生态：vi/vim、ohmyzsh、tmux、NvChad 与 LunarVim

Fri, 15 Jun 2018 00:00:00 +0800

一、为什么是 2018 年这一份

2018 年这个时间点，Linux 编辑器与 Shell 生态进入"新派系萌芽"期：

vi/vim 8.x 仍是终端编辑器的事实标准
zsh + ohmyzsh 在 macOS 成为默认 shell 后反向推动 Linux 用户迁移
tmux 2.x 替代 screen 成为终端复用的主流选择（tmux 2.2 2015-2016，2.5 2017）
Neovim 在 0.2 之后开始获得关注，2018-2019 是 0.3 时代
SpaceVim 1.0 是 2018-01 发布的（一个早期 Neovim 发行版尝试）
图形界面 + Wine 让 Linux 桌面也能跑部分 Windows 应用

这一篇覆盖 vi/vim 速查、终端快捷键、ohmyzsh 主题与插件、tmux 入门、NvChad/LunarVim Neovim 发行版、图形界面安装、history 痕迹清理——日常"在终端里干活"的全套工具。

阅读建议：先 vi/vim 速查 → 终端快捷键 → tmux → ohmyzsh → Neovim 发行版，按学习曲线由浅入深。

二、vi/vim 速查

vi 是 1976 年 Bill Joy 在 BSD 写的，1991 年 Bram Moolenaar 写 vim。至今仍是 Linux 终端编辑器的"必须会"。

2.1 模式

vi/vim 有三种模式：

Normal 模式（默认）—— 光标移动、删除、复制
Insert 模式（i 进入）—— 文本输入
Visual 模式（v 进入）—— 选中

按 Esc 回到 Normal 模式。

2.2 光标移动（Normal 模式）

键	移动
`h` / `j` / `k` / `l`	左 / 下 / 上 / 右
`0`	移到行首
`^`	移到行首第一个非空字符
`$`	移到行尾
`b`	移到单词开头（按标点分界）
`e`	移到单词末尾
`w`	移到下一个单词
`B` / `E` / `W`	同上，按空格分界
`+` / `-`	下一行 / 上一行开头
`G`	文件末尾
`gg`	文件开头
`<n>G` 或 `<n>gg`	跳到第 n 行
`f<char>`	移到本行下一个指定字符
`F<char>`	移到本行上一个指定字符
`t<char>` / `T<char>`	移到字符前/后
`;` / `,`	重复上一次 f/F/t/T 查找（右/左）
`H` / `M` / `L`	屏幕顶部 / 中间 / 底部
`zz` / `zt` / `zb`	当前行滚到屏幕中 / 顶 / 底

2.3 段落 / 句子 / 代码块

键	移动
`{` / `}`	段落的开始 / 结尾
`(` / `)`	句子的开始 / 结尾
`[(` / `])`	上一组 `( )` 块
`[{` / `]}`	上一组 `{ }` 块
`[[` / `]]`	上一函数 `{` / `}`
`[#` / `]#`	上一个 `#if` / `#endif`

2.4 编辑 / 选中

命令	含义
`dd`	删除当前行
`ggvG`	全选（`gg` 到首行，`v` 进 Visual，`G` 到末行）
`ggyG`	全部复制
`dG`	全部删除（首行到末行）
`y`	复制
`d`	删除
`"+y`	复制到系统剪贴板（vim）
`p`	粘贴
`u`	撤销
`Ctrl+r`	重做
`>` / `<`	缩进 / 回退一级
`/pattern`	查找（`n` 下一个，`N` 上一个）

2.5 跳转 / 书签

命令	含义
`''`	跳到上次修改位置
`	同上（反引号）
`m<a>`	在当前行设书签 a
`<a>	跳到书签 a
`Ctrl+o` / `Ctrl+i`	跳转历史前后

实战技巧：要删大量内容时，在两端 ma、mb 设书签，然后 d'a 一键删除。

三、终端快捷键（bash 默认 emacs 模式）

3.1 模式切换

1
2


set -o vi # 切换到 vi 模式
set -o emacs # 切回 emacs 模式

3.2 编辑命令

键	功能
`Ctrl + a`	移到命令行首
`Ctrl + e`	移到命令行尾
`Ctrl + f` / `Ctrl + b`	按字符前移 / 后移
`Alt + f` / `Alt + b`	按单词前移 / 后移
`Ctrl + x`	在命令行首和光标之间跳转
`Ctrl + u`	从光标处删除到命令行首
`Ctrl + k`	从光标处删除到命令行尾
`Ctrl + w`	从光标处删除到字首
`Alt + d`	从光标处删除到字尾
`Ctrl + d`	删除光标处字符（空行时关闭 terminal）
`Ctrl + h`	删除光标前字符
`Ctrl + y`	粘贴至光标后
`Alt + c`	从光标处首字母大写
`Alt + u` / `Alt + l`	从光标处全部大写 / 小写
`Ctrl + t`	交换光标处和之前的字符
`Alt + t`	交换光标处和之前的单词
`Alt + Backspace`	与 `Ctrl + w` 类似

3.3 历史命令

键	功能
`Ctrl + r`	逆向搜索命令历史
`Alt + n`	向前搜索（非增量）
`Alt + p`	向后搜索（非增量）
`!?string?`	执行最近含 string 的命令
`Ctrl + g`	退出历史搜索
`Ctrl + p` / `Ctrl + n`	上一条 / 下一条历史
`Alt + .`	上一条命令的最后一个参数

3.4 控制命令

键	功能
`Ctrl + l`	清屏
`Ctrl + o`	执行当前命令并选择上一条
`Ctrl + s`	阻止屏幕输出
`Ctrl + q`	允许屏幕输出
`Ctrl + c`	终止命令
`Ctrl + z`	挂起命令（用 `fg` 恢复）

3.5 Bang（!）命令

命令	功能
`!!`	执行上一条命令
`!blah`	执行最近以 blah 开头的命令
`!blah:p`	仅打印不执行
`!$`	上一条命令的最后一个参数
`!^`	上一条命令的第一个参数
`!*`	上一条命令的所有参数
`^blah`	删除上一条命令中的 blah
`^blah^foo`	替换上一条命令中的 blah 为 foo

3.6 终端窗口快捷键

键	功能
`Ctrl + Alt + T`	打开新的终端窗口
`Shift + Ctrl + N`	打开新的终端窗口
`Shift + Ctrl + Q`	关闭终端窗口
`Shift + Ctrl + T`	打开新标签页
`Shift + Ctrl + W`	关闭标签页
`Ctrl + PgUp / PgDn`	左移/右移标签页
`Alt + <数字>`	切换至对应标签页
`F11`	全屏切换

四、ohmyzsh 主题与插件

4.1 安装

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 安装 zsh
apt install zsh
chsh -s /bin/zsh
# 重新登录

# 安装 oh-my-zsh
sh -c "$(curl -fsSL https://raw.github.com/robbyrussell/oh-my-zsh/master/tools/install.sh)"

# 查可用的 shell
cat /etc/shells
echo $SHELL

4.2 主题推荐

1
2


ll ~/.oh-my-zsh/themes
# 推荐：bira（清爽）、ys（花哨）、dst

1
2
3
4
5


vim ~/.zshrc
# ZSH_THEME="robbyrussell" 改为
ZSH_THEME="bira"

source ~/.zshrc

4.3 必备插件

1
2
3
4
5
6
7


# 自动提示历史记录
git clone https://github.com/zsh-users/zsh-autosuggestions \
 ${ZSH_CUSTOM:-~/.oh-my-zsh/custom}/plugins/zsh-autosuggestions

# 语法高亮
git clone https://github.com/zsh-users/zsh-syntax-highlighting.git \
 ${ZSH_CUSTOM:-~/.oh-my-zsh/custom}/plugins/zsh-syntax-highlighting

1
2
3
4
5
6
7
8


vim ~/.zshrc
plugins=(
 git
 zsh-autosuggestions
 zsh-syntax-highlighting
)

source ~/.zshrc

4.4 root 也想用 ohmyzsh

1
2
3
4
5
6
7


su
cp ~/.zshrc /root
cp -r ~/.oh-my-zsh /root
cd /root
source .zshrc
# 权限问题
chmod -R 755 ~/.oh-my-zsh

五、NvChad：Neovim 发行版

NvChad 是 2021-04 发布的 Neovim 发行版，基于 Neovim 0.5+，提供"开箱即用"的配置、LSP、TreeSitter、自动补全等现代编辑器特性。

5.1 安装

1
2


# 前置：Neovim 0.7+（2022-02 发布的 0.7 才是 0.5+ 真正稳定）
git clone https://github.com/NvChad/NvChad ~/.config/nvim --depth 1 && nvim

关于时间点：NvChad 严格说在 2018 年还没发布（2021 才出来）。但写 2018 这篇是为了完整介绍 Neovim 发行版生态——历史地看，“Neovim 化"的趋势从 2018-2019 的 Neovim 0.3 时代就开始了。

5.2 卸载

1
2
3
4


# linux/macos
rm -rf ~/.config/nvim
rm -rf ~/.local/share/nvim
rm -rf ~/.cache/nvim

六、LunarVim：另一个 Neovim 发行版

LunarVim 是 2020-12 起步、2021-12 发布 1.0 的 Neovim 发行版，比 NvChad 配置更"傻瓜化”。

6.1 前置

1
2
3
4
5
6


# Neovim 0.7 以上
python3 python -V
git

# 能连 GitHub（proxychains + v2ray 通用方案）
curl --socks5 127.0.0.1:1080 https://www.google.com/

6.2 安装 Neovim 0.7.2

1
2
3
4
5


wget https://github.com/neovim/neovim/releases/download/v0.7.2/nvim-linux64.tar.gz
tar -xvf nvim-linux64.tar.gz
mv nvim-linux64 /usr/local/
cd /bin
ln -s /usr/local/nvim-linux64/bin/nvim nvim

6.3 安装 LunarVim

1
2
3
4
5
6
7
8
9


bash <(curl -s https://raw.githubusercontent.com/lunarvim/lunarvim/master/utils/installer/install.sh)

# 添加到 PATH
vim ~/.zshrc
export PATH=$PATH:/root/.local/bin
source ~/.zshrc

# 启动
lvim

6.4 卸载

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


bash ~/.local/share/lunarvim/lvim/utils/installer/uninstall.sh
# 或
bash <(curl -s https://raw.githubusercontent.com/lunarvim/lunarvim/master/utils/installer/uninstall.sh)

# 完全清理
find / -name "lvim"
rm -rf /root/.config/lvim
rm -rf /root/.local/share/lunarvim/lvim
rm -rf /root/.local/share/lunarvim/lvim/lua/lvim
rm -rf /root/.local/share/lunarvim/lvim/tests/lvim
rm -rf /root/.local/bin/lvim
rm -rf /root/.cache/lvim

6.5 配置

1
2
3
4
5


# 配置文件
~/.config/lvim/config.lua

# 启动
/root/.local/bin/lvim

6.6 更新

1
2
3
4
5
6
7
8
9


# 在 LunarVim 内
:LvimUpdate

# 命令行
lvim +LvimUpdate +q

# 更新插件
:LvimUpdate
:PackerUpdate

七、tmux 入门

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21


# 安装
yum install -y tmux

# 新建会话
tmux new -s session_name

# 退出（不关会话）
# ctrl + b 然后按 d

# 进入已有会话
tmux attach -t session_name

# 列出所有会话
tmux ls
# ctrl + b 然后按 s 交互式切换

# 关闭会话
tmux kill-session -t session_name

# 关闭所有会话
tmux ls | grep : | cut -d. -f1 | awk '{print substr($1, 0, length($1)-1)}' | xargs kill

八、清理历史命令与文件时间

1
2
3
4
5
6


# 清理 bash 历史命令
history -c
history -w

# 当前会话用过的命令
history -r

8.1 清理登录日志

日志文件	查看命令	日志内容
`/var/log/wtmp`	`last`	登录成功日志
`/var/log/btmp`	`lastb`	登录失败日志
`/var/log/lastlog`	`lastlog`	各用户最近登录
`/var/log/secure`	`cat`	各类需要输入口令的登录

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15


# 全部清空（动静大）
cat /dev/null > /var/log/wtmp
cat /dev/null > /var/log/btmp
cat /dev/null > /var/log/lastlog
cat /dev/null > /var/log/secure

# 局部清理（删指定 IP）
sed -i '/222.137.129.138/d' /var/log/wtmp
sed -i '/222.137.129.138/d' /var/log/btmp
sed -i '/222.137.129.138/d' /var/log/lastlog
sed -i '/222.137.129.138/d' /var/log/secure
sed -i '/222.137.129.138/d' /var/log/auth.log

# 全局替换 IP
sed -i 's/原IP/新IP/g' /var/log/secure

8.2 修改文件时间

1
2


# 把文件 1 的时间复制给文件 2
touch -r 1.php 2.php

8.3 清理 ohmyzsh

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 换回 bash
chsh -s /bin/bash

# 清理文件
rm -rf /root/.oh-my-zsh

# 彻底擦除（用 wipe）
apt install wipe
wipe -rfi /root/.oh-my-zsh
wipe -rfi /root/.zsh_history
wipe -rfi /root/.zshrc

九、安装图形界面

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


sudo apt update
sudo apt upgrade

sudo apt -y install task-gnome-desktop
sudo apt install tasksel

sudo tasksel install desktop gnome-desktop

sudo systemctl set-default graphical.target

sudo reboot

十、前置知识 / 下一步

想看 NvChad / LunarVim 进阶配置（自定义 LSP、自动补全）→ 翻独立文章
想看 zsh 高级用法（prompt 自定义、completion 调优）→ 翻独立文章
想看 tmux 进阶（脚本化、tmuxinator）→ 翻独立文章
想看 vi/vim 进阶（宏、寄存器、:command）→ 翻独立文章
想看 Wine 在 Linux 跑 Windows 应用 → 翻本系列《Deepin 与 Kali 发行版实战》

十一、参考资源

Vim 官方文档：https://www.vim.org/docs.php
Vim 入门图解（:help 内置）
oh-my-zsh 官方：https://ohmyz.sh/
NvChad 官方：https://nvchad.com/
LunarVim 官方：https://www.lunarvim.org/
tmux 官方：https://github.com/tmux/tmux/wiki

2024 视角：Neovim 已经"主流化"

2018 那篇是 Neovim 0.3 时代的"前瞻性"介绍。6 年过去，Neovim 已经从"小众新派"变成主流选择。

一、Neovim 1.x 全面成熟

Neovim 0.9（2023-05）开始支持 Lua 配置的完整稳定 API。
Neovim 0.10（2024-03 发布）：进一步稳定 vim.lsp / vim.treesitter / vim.diagnostic。
Neovim 1.0（2024-07 计划 / 实际 2024 年中）正式成为"1.x 时代"——这是 Neovim 的"iPhone 4 时刻"。

1
2
3
4
5
6
7
8


# 2024 装 Neovim
apt install neovim # Ubuntu 24.04 默认 0.10+
brew install neovim # macOS

# 用 nightly 拿最新特性
apt install software-properties-common
add-apt-repository ppa:neovim-ppa/unstable
apt update && apt install neovim

二、NvChad / LunarVim 的"接班人"

NvChad v2.4+（2023-2024）已经支持 lazy.nvim + mason.nvim + conform.nvim 的"现代三件套"——开箱即用。
LazyVim（2023 推出，作者 folke 同时是 lazy.nvim 维护者）成为 2024 Neovim 发行版的新王——比 NvChad 启动更快、配置更现代、社区最活跃。
AstroNvim v4+（2024 主流）：另一派"全家桶"配置，对 VS Code 用户迁移最友好。
Kickstart.nvim（2024）：官方"极简起点"配置，适合想自己学的用户。

1
2
3
4


# 2024 推荐：LazyVim
git clone https://github.com/LazyVim/starter ~/.config/nvim
nvim
# 自动安装所有插件

三、Neovim 内置 LSP（已无需 LanguageClient-neovim）

2018 那篇提到"Neovim 0.5+ 才真正稳定 LSP"，2024 这个能力已经"内置 + 完善"：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


-- ~/.config/nvim/lua/lsp.lua (LazyVim 风格)
vim.api.nvim_create_autocmd('LspAttach', {
 group = vim.api.nvim_create_augroup('lsp-attach', { clear = true }),
 callback = function(event)
 local opts = { buffer = event.buf }
 vim.keymap.set('n', 'K', '<cmd>lua vim.lsp.buf.hover()<cr>', opts)
 vim.keymap.set('n', 'gd', '<cmd>lua vim.lsp.buf.definition()<cr>', opts)
 vim.keymap.set('n', 'gr', '<cmd>lua vim.lsp.buf.references()<cr>', opts)
 end,
})

四、Helix editor 2024 已成"另一种主流"

Helix（2021 推出，Rust 写的"模态编辑器"）2024 已是 1.0+ 稳定版。
模态模式 + 多选 + 内置 LSP/TreeSitter + 不需要配置——VS Code 用户 5 分钟就能上手。
和 Neovim 互补：Neovim = 高度可定制、Helix = 开箱即用。

1
2
3


# 装
apt install helix # Ubuntu 24.04+ 已收
cargo install helix-term # 从源码（最新版）

五、tmux 3.x 的"现代化"

2018 那篇用的是 tmux 2.x。2024 用 tmux 3.x：

status-line 字符串插值（#{...} 语法）：可以显示 CPU 占用、电池、git status。
popup 弹窗（display-popup）：可以弹出一个浮动的命令窗口。
mouse 模式默认开启（配置后）。

1
2
3
4
5
6
7


# ~/.tmux.conf (2024 现代版)
set -g mouse on
set -g default-terminal "tmux-256color"
set -g status-interval 5
set -g status-left-length 32
set -g status-left "#{?client_prefix,#[fg=red],#[fg=green]}#S #[fg=white]| "
set -g status-right "#[fg=yellow]%H:%M "

六、oh-my-zsh 的"接班人"：Starship + Zim

2024 大量新用户从 oh-my-zsh 迁到 Starship（Rust 写的 prompt）+ Zim（更轻量的 zsh 配置框架）：

Starship：跨 shell（bash/zsh/fish/PowerShell）一致 prompt，速度比 oh-my-zsh 快 10 倍。

1
2
3
4


# 装 Starship
curl -sS https://starship.rs/install.sh | sh
# ~/.zshrc 加
eval "$(starship init zsh)"

Zim（比 oh-my-zsh 启动快 3 倍，模块化更好）：

1

curl -fsSL https://raw.githubusercontent.com/zimfw/install/master/install.zsh | zsh

七、图形界面在 2024 的"轻量级"新选择

2018 那篇提到用 Wine 跑 Windows 应用。2024 的"轻量级"选择：

Wayland 已成为默认（Ubuntu 24.04 / Fedora 40 / RHEL 9 默认 Wayland session）。
GNOME 46（2024-03）改用 GTK 4 + libadwaita，UI 更现代。
KDE Plasma 6（2024-02）从 Qt 5 升 Qt 6，性能更好。
国产：
- UKUI（银河麒麟）
- DDE（Deepin 23 用 Qt 6 重写，2024 已 4K HiDPI 友好）
- CutefishOS（小众但美观）

nginxWebUI 可视化配置：图形化管理 Nginx 反向代理与证书

Thu, 15 Mar 2018 00:00:00 +0800

背景

直接编辑 nginx.conf 对老手不是问题，但对多机器、多域名、多证书的场景：

10 台机器的 Nginx 配置逐个 scp + reload，效率低
Let’s Encrypt 证书 90 天过期，每次手动续期累
反代配置改一行，要 grep + vim + nginx -t + reload 反复验证
团队里新人不会写 nginx.conf

nginxWebUI（cym1102/nginxWebUI）是国产开源的Nginx 图形化管理工具：

Web 界面配置 server、location、upstream、SSL
可视化反向代理、负载均衡、HTTPS、HTTP/2
证书申请支持 Let’s Encrypt（DNS 验证）+ 自有证书
集群同步多台 Nginx 配置一致
参数模板常用片段（WebSocket、HTTPS、限流）

适用场景：

中小企业多机器统一配置
不熟悉 nginx.conf 的运维新人
大量多域名业务（虚拟主机）
证书自动续期 + 同步

前置知识：

Nginx 基础
一台已装 Nginx 1.16+ 的 Linux 机器
JDK 1.8（运行 Spring Boot）

重要原则：nginxWebUI 直接修改nginx.conf 并 reload，所有手工编辑的注释必须用 # nginxWebUI 标记（避免被覆盖）。

一、架构

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


 ┌──────────────────┐
 │ nginxWebUI Web │ ← 用户浏览器
 │ (Spring Boot) │
 │ :8080/:8082 │
 └────────┬─────────┘
 │
 ┌──────┴──────┐
 │ │
 ┌────▼─────┐ ┌────▼─────┐
 │ Nginx │ │ 配置文件 │ ← /home/nginxWebUI/
 │ :80/443 │ │ 模板、 │
 │ reload │ │ 证书、 │
 └──────────┘ │ 集群配置 │
 └──────────┘

关键路径：

Web UI：http://<ip>:8080（默认）
项目目录：/home/nginxWebUI/
配置文件：/home/nginxWebUI/conf/
证书目录：/home/nginxWebUI/.acme.sh/

二、前置工作

2.1 安装 JDK 1.8

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17


# 下载并解压
curl -O https://example.com/jdk-8u381-linux-x64.tar.gz
tar -xzvf jdk-8u381-linux-x64.tar.gz -C /usr/local

# 配置环境变量
cat << "EOF" >> /etc/profile
export JAVA_HOME=/usr/local/jdk1.8.0_381
export CLASSPATH=$JAVA_HOME/bin:$JAVA_HOME/lib:$JAVA_HOME/jre/lib
export PATH=.:$JAVA_HOME/bin:$JAVA_HOME/jre/bin:$PATH
EOF

# 生效
source /etc/profile

# 验证
java -version
# java version "1.8.0_381"

2.2 准备 Nginx

编译选项必须包含（缺哪个就重编）：

1
2
3
4
5
6
7
8


nginx -V
# 关键参数：
# --with-http_ssl_module HTTPS 必备
# --with-http_stub_status_module 状态监控
# --with-pcre 正则
# --with-http_gzip_static_module 静态压缩
# --with-stream TCP/UDP 四层代理
# --with-stream_ssl_module TCP SSL

如果没有 --with-stream，重编译：

1
2
3
4
5
6
7
8


./configure --prefix=/usr/local/nginx \
 --with-http_ssl_module \
 --with-http_stub_status_module \
 --with-pcre \
 --with-http_gzip_static_module \
 --with-stream \
 --with-stream_ssl_module
make && make install

把 nginx 加入 PATH：

1
2
3
4
5
6


cat << "EOF" >> /etc/profile
PATH=$PATH:/usr/local/nginx/sbin
export PATH
EOF
source /etc/profile
nginx -V

三、安装 nginxWebUI

3.1 下载 jar

1
2
3


mkdir -p /home/nginxWebUI/
wget -O /home/nginxWebUI/nginxWebUI.jar \
 https://gitee.com/cym1102/nginxWebUI/releases/download/4.3.0/nginxWebUI-4.3.0.jar

版本选择：4.x 需要 JDK 11+，4.2.x 兼容 JDK 1.8。

3.2 启动（测试）

1
2
3
4


nohup java -jar -Dfile.encoding=UTF-8 \
 /home/nginxWebUI/nginxWebUI.jar \
 --server.port=8080 \
 --project.home=/home/nginxWebUI/ > /dev/null &

3.3 systemd 守护（生产推荐）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23


cat << "EOF" > /etc/systemd/system/nginxwebui.service
[Unit]
Description=NginxWebUI
After=syslog.target
After=network.target

[Service]
Type=simple
User=root
Group=root
WorkingDirectory=/home/nginxWebUI
ExecStart=/usr/local/jdk1.8.0_381/bin/java -jar -Dfile.encoding=UTF-8 \
 /home/nginxWebUI/nginxWebUI.jar --server.port=8082
Restart=always
ReStartSec=600

[Install]
WantedBy=multi-user.target
EOF

systemctl daemon-reload
systemctl enable --now nginxwebui.service
systemctl status nginxwebui.service

四、首次登录

4.1 访问

1

http://<server-ip>:8082

4.2 修改默认密码

第一次登录会要求修改默认账号（默认 admin / nginxWebUI 或类似，取决于版本）。

必须改强密码——这个 Web 界面一旦被破，攻击者直接控制你的 Nginx。

4.3 主界面

登录后看到 5 大模块：

反向代理：可视化配置 server/location/upstream
证书管理：Let’s Encrypt 申请 + 续期
参数模板：常用片段（WebSocket、HTTPS、限流）
集群管理：多机器同步
系统设置：日志、备份、安全

五、反向代理实战

5.1 创建一个 HTTP 反代

反向代理 → 创建：

1
2
3
4


名称：blog-app
监听端口：80
域名：blog.example.com
上游地址：127.0.0.1:3000

nginxWebUI 自动生成：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


server {
 listen 80;
 server_name blog.example.com;
 
 location / {
 proxy_pass http://127.0.0.1:3000;
 proxy_set_header Host $host;
 proxy_set_header X-Real-IP $remote_addr;
 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
 }
}

5.2 HTTPS + WebSocket 模板

反向代理 → 编辑 → 启用 SSL：

1
2
3


证书：选择 let's encrypt 自动申请
强制 HTTPS：是
模板：WebSocket

自动生成：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19


server {
 listen 443 ssl http2;
 server_name blog.example.com;
 
 ssl_certificate /home/nginxWebUI/.acme.sh/blog.example.com/fullchain.cer;
 ssl_certificate_key /home/nginxWebUI/.acme.sh/blog.example.com/blog.example.com.key;
 
 location / {
 proxy_pass http://127.0.0.1:3000;
 proxy_http_version 1.1;
 proxy_set_header Upgrade $http_upgrade;
 proxy_set_header Connection "upgrade";
 proxy_set_header Host $host;
 proxy_set_header X-Real-IP $remote_addr;
 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
 # WebSocket 超时
 proxy_read_timeout 600s;
 }
}

5.3 负载均衡

上游 → 创建：

1
2
3
4
5
6


名称：api-pool
负载策略：ip_hash（会话保持）
节点：
 - 10.0.1.10:8080
 - 10.0.1.11:8080
 - 10.0.1.12:8080

在反代 location 选 api-pool，自动生成：

1
2
3
4
5
6


upstream api-pool {
 ip_hash;
 server 10.0.1.10:8080;
 server 10.0.1.11:8080;
 server 10.0.1.12:8080;
}

5.4 重载配置

右上角 → 替换文件 → 验证配置 → 重新加载 nginx

1
2


nginx -t
nginx -s reload

nginxWebUI 自动执行这两步。

六、证书自动申请

6.1 阿里云 DNS 验证

证书管理 → 申请证书 → DNS 验证 → 阿里云：

需要阿里云 AccessKey（最小权限：AliyunDNSFullAccess）：

1
2


AccessKey ID: LTAI5txxxxxxxxxxx
AccessKey Secret: h8Q4xxxxxxxxxxxx

强烈建议用 RAM 子账号 AccessKey，不要用主账号。

6.2 申请流程

选择 DNS 厂商（阿里云 / 腾讯云 / Cloudflare / 华为云）
填 AccessKey
输入要申请证书的域名
nginxWebUI 自动：
- 在 DNS 添加 _acme-challenge TXT 记录
- 等 Let’s Encrypt 验证
- 保存证书到 /home/nginxWebUI/.acme.sh/
在反代配置中选这个证书

6.3 自动续期

Let’s Encrypt 证书 90 天过期。nginxWebUI 内置 cron 任务：

每天检查 30 天内过期的证书
自动调用 acme.sh 续期
自动 reload nginx

无需人工干预。

6.4 多域名（SAN 证书）

1
2
3


example.com
www.example.com
api.example.com

一次申请，3 个域名共用 1 张证书。

七、集群同步

7.1 场景

N 台 Nginx 机器（机房 A 3 台 + 机房 B 2 台），配置要完全一致。

7.2 配置主从

集群管理 → 添加节点：

1
2
3
4
5


节点名：nginx-slave-01
IP：10.0.1.21
SSH 端口：22
SSH 用户：root
认证方式：SSH 私钥

主节点（你这台）配置变更后，点"同步"会自动 scp 配置 + reload 到所有从节点。

7.3 同步内容

反代配置
证书
模板
不同步：日志、本地统计

7.4 同步失败的常见原因

SSH 免密没配：ssh-keygen + ssh-copy-id 先打通
nginx 路径不同：从节点 /usr/local/nginx/sbin/nginx 不存在
JDK 没装：从节点没 java，nginxWebUI 跑不起来
防火墙：从节点没开放 22 给主节点

八、参数模板

把常用配置片段做成模板，一处维护，到处使用。

8.1 内置模板

WebSocket 反代：Upgrade + Connection "upgrade" + 长超时
HTTPS 优化：ssl_protocols / ssl_ciphers / session cache
静态资源：gzip / expires / cache-control
限流：limit_req_zone 限 IP / URI
防盗链：referer 白名单

8.2 自定义模板

1
2
3
4
5


# 我的限流模板
location / {
 limit_req zone=one burst=10 nodelay;
 proxy_pass http://backend;
}

保存后，在反代编辑界面可以一键插入。

九、备份与恢复

9.1 自动备份

系统设置 → 自动备份：

备份目录：/home/nginxWebUI/backup/
备份内容：所有反代配置 + 证书
备份频率：每天 / 每周
保留份数：30 份

9.2 手动备份

1
2
3
4
5
6
7


# 备份项目目录
tar -czf nginxWebUI_$(date +%F).tar.gz /home/nginxWebUI/

# 排除 .acme.sh（可重新申请）
tar -czf nginxWebUI_config_$(date +%F).tar.gz \
 --exclude='*.acme.sh' \
 /home/nginxWebUI/

9.3 跨机迁移

1
2
3
4
5
6


# 旧机器打包
tar -czf nginxWebUI.tar.gz /home/nginxWebUI/

# 新机器恢复
tar -xzf nginxWebUI.tar.gz -C /
# 然后启动 systemd 即可

记得修改 --project.home 指向新路径。

十、安全加固

10.1 Web UI 端口保护

1
2
3
4
5
6


# 用 Nginx 反代 nginxWebUI，加 basic auth
location / {
 auth_basic "NginxWebUI Admin";
 auth_basic_user_file /etc/nginx/.htpasswd;
 proxy_pass http://127.0.0.1:8082;
}

10.2 HTTPS for Web UI

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 生成自签证书（内网用）
openssl req -x509 -nodes -days 3650 -newkey rsa:2048 \
 -keyout /home/nginxWebUI/ssl.key \
 -out /home/nginxWebUI/ssl.crt \
 -subj "/CN=nginxwebui.internal"

# 启动加 --server.ssl.key-store
nohup java -jar nginxWebUI.jar \
 --server.port=8443 \
 --server.ssl.key-store=/home/nginxWebUI/ssl.jks \
 --server.ssl.key-store-password=changeit &

10.3 操作审计

审计台 → 操作日志：所有 Web UI 操作都记录（谁在什么时间改了什么）。

十一、常见问题

11.1 配置替换后 nginx -t 报错

原因：上游地址不可达 + nginx -t 不检查 upstream 通断。

对策：

在 nginxWebUI 启用"测试"模式（不直接 reload）
手工 nginx -t 验证语法

11.2 证书申请失败

DNS 验证失败：阿里云 AccessKey 没 AliyunDNSFullAccess
速率限制：Let’s Encrypt 一周 5 张同域名证书，用 staging 环境测
端口 80 被占：HTTP 验证需要 80 端口，改用 DNS 验证

11.3 Web UI 502 Bad Gateway

8080 端口被占：lsof -i :8080
Java 进程没起来：systemctl status nginxwebui
磁盘满：证书申请要写临时文件

11.4 集群同步后从节点 nginx 起不来

检查从节点 nginx 编译参数一致
检查从节点 /etc/nginx 是否被覆盖（nginxWebUI 默认只动 conf.d）

十二、卸载

1
2
3
4
5


systemctl stop nginxwebui.service
systemctl disable nginxwebui.service
rm -rf /etc/systemd/system/nginxwebui.service
rm -rf /home/nginxWebUI
systemctl daemon-reload

小结

nginxWebUI 是国产最易用的 Nginx 可视化工具：

图形化反代——不用手写 nginx.conf
证书自动续期——Let’s Encrypt 90 天焦虑解除
集群同步——多机器配置一致性
模板复用——常用片段一处维护

生产使用三原则：

Web UI 加 basic auth + HTTPS
手写配置必须带 # nginxWebUI 标记避免被覆盖
定期备份 /home/nginxWebUI/

替代方案对比：

nginxWebUI（本篇）：Spring Boot + Web，集群同步
Nginx Proxy Manager：Docker 化，UI 更现代
Caddy：自带 HTTPS，但生态小
APISIX：企业级网关，APISIX Ingress

下一步：

用 Nginx Proxy Manager 做内网穿透入口
用 APISIX 做 API 网关（限流、鉴权、灰度）
自建证书监控（certspotter / cert-expiry-monitor）

2024 视角：Web UI 类工具已"百花齐放"

2018 那篇只有 nginxWebUI 一个国产工具。2024 视角下，Web UI 类 Nginx 工具已经"百花齐放"。

一、nginxWebUI 4.x（2024 现状）

当前版本 4.3.x（2024 持续更新）。
新特性：
- JDK 17+ 兼容（不再强依赖 JDK 8）
- 国密 SM2/SM3/SM4（国内信创环境）
- 集群同步 增强：支持灰度发布
- OpenAPI：用 REST API 自动化配置

1
2
3
4
5
6


# 2024 装
wget -O /home/nginxWebUI/nginxWebUI.jar \
 https://gitee.com/cym1102/nginxWebUI/releases/download/4.3.0/nginxWebUI-4.3.0.jar

# 启动（要求 JDK 17+）
java -jar nginxWebUI.jar --server.port=8080 --project.home=/home/nginxWebUI/

二、Nginx Proxy Manager（NPM）—— 2024 主流"最易用"工具

Nginx Proxy Manager（NginxProxyManager/nginx-proxy-manager）：Docker 一行命令 起 UI。

1
2
3
4
5
6
7


# 装
docker run -d \
 --name nginx-proxy-manager \
 -p 80:80 -p 443:443 -p 81:81 \
 -v /data/npm/data:/data \
 -v /data/npm/letsencrypt:/etc/letsencrypt \
 jc21/nginx-proxy-manager:latest

优势：
- UI 极其现代（Vue 3 + Element Plus）
- Let’s Encrypt 自动续期（内置）
- Access List（HTTP Basic Auth 访问控制）
- Audit Log（所有操作记录）
2024 主流：NPM 在个人 / 小团队 / 自托管场景已经超过 nginxWebUI。

三、Caddy —— “自动 HTTPS"的魅力

Caddy（Go 写）自动申请 Let’s Encrypt 证书 + 自动续期——配置极简：

1
2
3
4
5
6
7
8
9


# /etc/caddy/Caddyfile
myapp.example.com {
 reverse_proxy localhost:3000
}

blog.example.com {
 reverse_proxy localhost:8080
 encode gzip
}

1
2
3
4


# 装
apt install caddy
caddy run
# 自动 HTTPS + 自动续期

2024 趋势：Caddy 在静态博客 / 个人网站 / 内部工具场景全面替代 Nginx。
劣势：插件生态远不如 Nginx（没有 stream 四层、不能编译第三方模块）。

四、APISIX / Kong —— “API 网关"路线

APISIX（Apache 顶级项目，国产）：云原生 API 网关——支持动态路由、限流、鉴权、灰度、gRPC：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# APISIX Route
upstreams:
 - id: "1"
 nodes:
 - host: "10.0.1.10"
 port: 8080
 weight: 1
 - host: "10.0.1.11"
 port: 8080
 weight: 1
 type: roundrobin

Kong（基于 Nginx + Lua）：商业 API 网关老牌，2024 仍是外企主流。

五、Traefik —— K8s 时代的"动态反代”

Traefik（Go 写）自动发现 K8s 资源（Ingress / Service）——几乎零配置：

1
2
3
4
5
6


# Helm 装
helm repo add traefik https://traefik.github.io/charts
helm install traefik traefik/traefik

# 自动发现所有 Ingress
kubectl apply -f myapp-ingress.yaml

自动 HTTPS（Let’s Encrypt + cert-manager 集成）。
2024 K8s 项目默认 Ingress Controller 之一（与 Nginx Ingress Controller 并列）。

六、`acme.sh` —— 命令行证书申请的事实标准

2018 那篇的 nginxWebUI 内置 acme.sh。2024 视角：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


# 装
curl https://get.acme.sh | sh
source ~/.bashrc

# 申请证书（DNS 验证）
export Ali_Key="xxx"
export Ali_Secret="yyy"
acme.sh --issue -d example.com --dns dns_ali

# 复制到 Nginx
acme.sh --install-cert -d example.com \
 --key-file /etc/nginx/ssl/example.com.key \
 --fullchain-file /etc/nginx/ssl/example.com.crt \
 --reloadcmd "systemctl reload nginx"

acme.sh 2024 仍是 80+ DNS 厂商支持的"证书神器”——比 certbot 简单、比 nginxWebUI 灵活。

七、Web UI 工具选型 2024 决策表

场景	2018 选择	2024 推荐
个人博客 / 静态站	Caddy / Nginx	Caddy（自动 HTTPS）
小团队 1-3 台 Nginx	nginxWebUI	NPM（UI 现代）
中小企业多 Nginx	nginxWebUI + rsync	NPM 或 APISIX
K8s 集群 Ingress	（K8s 还没普及）	Traefik / Nginx Ingress / APISIX Ingress
API 网关 / 限流	（没普及）	APISIX / Kong
信创 / 国密	nginxWebUI	nginxWebUI 4.x
跨境 / 外企	nginxWebUI	Nginx Plus 或 Kong Enterprise

八、Web UI 工具的"未来趋势"

AI 辅助配置（2024 萌芽）：自然语言生成 Nginx 配置
GitOps 化：Web UI 改动自动 commit 到 Git
多集群联邦：一个 UI 管多 K8s 集群的 Ingress
安全扫描：Web UI 内置配置审计（防止错误配置）

源文档：os/linux/第三方tools/net/nginx/nginxwebUI.md（JDK 安装、Nginx 编译、jar 启动、systemd 守护、证书申请）

CentOS 7 开发环境：Python3 源码编译、Miniconda3 与 Oh My Zsh 实战

Fri, 15 Sep 2017 00:00:00 +0800

一、为什么 2017 年还要在 CentOS 7 手动配 Python3

CentOS 7 的 yum / firewalld / 大量系统工具强依赖 Python 2.7——直接 yum install python3 装出来的 python3 跟系统的 python（指向 2.7）完全分家，但 2017-2019 那几年的社区包又常常把 2.7 假设写死（典型如 subprocess.Popen 默认行为、字符串编码等）。所以生产环境 Python3 的标准装法是源码编译到 /usr/local/python3，再软链 python3 出去——既不影响系统 python，又方便升级。

到了 2017-2019 几年，Miniconda3 在国内也火了起来——比起源码编译，它的好处是：

自带 pip / conda / 大量科学计算包
国内源（清华 / 阿里）一配到底
环境隔离（conda create -n py39 python=3.9）

本篇把 Python3 源码编译、Miniconda3 配源、Oh My Zsh 提效这三件事串成一份"开发机一次配好"清单。

本文写于 2017-09-15。示例基于 CentOS 7.9 + Python 3.7 / 3.9 时代。CentOS 7 已 2024-06-30 进入 ELS 阶段，新机器建议 Rocky / Alma 9。

二、Python3 源码编译（与 Python2.7 共存）

2.1 装编译依赖

1
2
3
4


yum groupinstall "Development Tools" -y
yum install -y openssl-devel bzip2-devel libffi-devel zlib-devel \
 ncurses-devel sqlite-devel readline-devel tk-devel \
 gdbm-devel db4-devel libpcap-devel xz-devel

坑提醒：openssl-devel 一定要装，否则 pip install requests 装好之后跑 HTTPS 会直接报 ssl module not available。

2.2 下载 / 编译 / 安装

1
2
3
4
5
6
7


wget https://www.python.org/ftp/python/3.9.10/Python-3.9.10.tgz
tar -zxvf Python-3.9.10.tgz
cd Python-3.9.10

./configure --enable-optimizations --prefix=/usr/local/python3
make altinstall # 注意是 altinstall 不是 install
make && make install

./configure --enable-optimizations 会跑一遍 profile-guided optimization（PGO），编译时间长 20-30 分钟但性能提升 10-20%，生产环境值得等。

make altinstall 而不是 make install 关键作用：

不覆盖 系统 /usr/bin/python 软链接（系统指向 python2.7）
不动 /usr/bin/pip
装出来的 python3.9 / pip3.9 直接在 /usr/local/python3/bin/

2.3 软链接

1
2
3
4
5
6
7


ln -s /usr/local/python3/bin/python3 /usr/bin/python3
ln -s /usr/local/python3/bin/pip3 /usr/bin/pip3

python3 -V
# Python 3.9.10
pip3 -V
# pip 21.2.4 from /usr/local/python3/lib/python3.9/site-packages/pip (python 3.9)

2.4 virtualenv 隔离

为了避免 pip install 污染系统 Python，每个项目单独开 venv：

1
2
3
4
5
6
7
8


python3 -m venv myenv
source myenv/bin/activate

# 装包
pip install requests flask

# 退出
deactivate

三、Miniconda3 + 国内源

3.1 下载安装

1
2


wget https://repo.anaconda.com/miniconda/Miniconda3-latest-Linux-x86_64.sh
sh Miniconda3-latest-Linux-x86_64.sh

交互流程：

按空格看完 license
接受 license（输入 yes）
安装路径（默认 ~/miniconda3，回车）
初始化（conda init，输入 yes 让它改 ~/.bashrc）
重开终端生效

3.2 配国内源

~/.condarc：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


channels:
 - defaults
show_channel_urls: true
default_channels:
 - http://mirrors.aliyun.com/anaconda/pkgs/main
 - http://mirrors.aliyun.com/anaconda/pkgs/r
 - http://mirrors.aliyun.com/anaconda/pkgs/msys2
custom_channels:
 conda-forge: http://mirrors.aliyun.com/anaconda/cloud
 msys2: http://mirrors.aliyun.com/anaconda/cloud
 bioconda: http://mirrors.aliyun.com/anaconda/cloud
 menpo: http://mirrors.aliyun.com/anaconda/cloud
 pytorch: http://mirrors.aliyun.com/anaconda/cloud
 simpleitk: http://mirrors.aliyun.com/anaconda/cloud

清华源（https://mirrors.tuna.tsinghua.edu.cn/anaconda/...）也是常用选择，速度一样快。

3.3 配 pip 源

1
2


pip config set global.index-url https://mirrors.aliyun.com/pypi/simple
pip config set install.trusted-host mirrors.aliyun.com

写到 ~/.config/pip/pip.conf：

1
2
3


[global]
index-url = https://mirrors.aliyun.com/pypi/simple
trusted-host = mirrors.aliyun.com

3.4 常用 conda 命令

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20


# 查版本
conda --version

# 创建隔离环境
conda create -n py39 python=3.9
conda activate py39

# 装包
conda install numpy pandas
# 或 pip（conda 环境里 pip 装也行）
pip install requests

# 退出
conda deactivate

# 列出所有环境
conda env list

# 删除环境
conda env remove -n py39

坑提醒：conda 环境和系统 Python 环境完全独立，pip 装的位置也不一样——一个项目只选一个，别混用。

四、Oh My Zsh 提效

bash 是 CentOS 默认 shell，但 zsh 配合 Oh My Zsh 的自动补全、语法高亮、主题，体验好一个档次。2017-2019 几年国内开发者几乎人手一套。

4.1 装 zsh

1
2
3


yum install -y zsh
zsh --version
# zsh 5.0.2 (x86_64-redhat-linux-gnu)

切换默认 shell（要重登录）：

1

chsh -s /bin/zsh

4.2 装 Oh My Zsh

官方脚本（国内常被 GFW 拦）：

1

sh -c "$(curl -fsSL https://raw.github.com/ohmyzsh/ohmyzsh/master/tools/install.sh)"

国内镜像版（Gitee）：

1
2
3
4
5
6
7


wget https://gitee.com/mirrors/oh-my-zsh/raw/master/tools/install.sh
vim install.sh
# 把 REMOTE 改成 gitee 镜像
# REMOTE=${REMOTE:-https://gitee.com/${REPO}.git}

chmod +x install.sh
sh install.sh

4.3 主题

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


# 看所有主题
ls ~/.oh-my-zsh/themes

# 改 ~/.zshrc
ZSH_THEME="robbyrussell" # 默认简洁
# 改成
ZSH_THEME="ys" # 国人开发，信息密度高
# 还有很多：agnoster、af-magic、jtriley、bira...

source ~/.zshrc

4.4 必装插件

zsh-autosuggestions（灰色提示历史命令）：

1
2
3
4
5
6


git clone https://github.com/zsh-users/zsh-autosuggestions \
 ${ZSH_CUSTOM:-~/.oh-my-zsh/custom}/plugins/zsh-autosuggestions

# 国内 Gitee 镜像
git clone https://gitee.com/hailin_cool/zsh-autosuggestions.git \
 $ZSH_CUSTOM/plugins/zsh-autosuggestions

zsh-syntax-highlighting（命令高亮，错误命令红色）：

1
2
3
4
5
6


git clone https://github.com/zsh-users/zsh-syntax-highlighting.git \
 ${ZSH_CUSTOM:-~/.oh-my-zsh/custom}/plugins/zsh-syntax-highlighting

# 国内 Gitee 镜像
git clone https://gitee.com/Annihilater/zsh-syntax-highlighting.git \
 $ZSH_CUSTOM/plugins/zsh-syntax-highlighting

启用插件——编辑 ~/.zshrc：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


# 关键：让 zsh 也能加载 /etc/profile（系统环境变量）
source /etc/profile

plugins=(
 git
 zsh-autosuggestions
 zsh-syntax-highlighting
)

source ~/.zshrc

4.5 git 走代理（GFW 友好）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13


# GitHub 走代理前缀
git config --global url."https://ghproxy.com/https://github.com/".insteadOf "https://github.com/"

# 全局 socks5 代理
git config --global http.proxy socks5://127.0.0.1:1080
git config --global https.proxy socks5://127.0.0.1:1080

# 取消代理
git config --global --unset http.proxy
git config --global --unset https.proxy

# 看所有配置
git config --global --list

五、git 提交 master 没有上游分支

第一次 git push 报：

1

fatal: The current branch master has no upstream branch.

设上游：

1

git push --set-upstream origin master

六、典型坑速查

现象	原因	处理
`python3 -V` 报 `command not found`	没装或没软链	走 §2.3 软链
`pip install` 报 `ssl module not available`	编译时缺 `openssl-devel`	重装 Python 加上 `--enable-optimizations`
conda 装包慢	没配国内源	走 §3.2 配 `.condarc`
Oh My Zsh 安装 git clone 失败	GFW 拦截 GitHub	改用 Gitee 镜像脚本
zsh 主题不生效	没 `source ~/.zshrc`	`source ~/.zshrc` 或重开终端
zsh 找不到系统 PATH 里的命令	没 `source /etc/profile`	在 `~/.zshrc` 第一行加 `source /etc/profile`

七、下一步

想升级到 Python 3.11+ → 重复 §2，但 make altinstall 后别覆盖 /usr/local/python3 目录里的旧版本
想用 pyenv 管多版本 Python → curl https://pyenv.run | bash，但 pyenv 跟 conda 互不兼容，选一个
想给开发机装 Docker → 见 2015-09-15 CentOS 7 全面实战
想换到更现代的 shell → fish，但生态不如 zsh 全（很多运维工具默认 profile 写的是 bash/zsh）

参考资料

2024 视角：Python 3.12 / Miniconda py310 / ohmyzsh 已成"标配"

2017 那篇是 Python 3.6/3.7 时代。2024 视角下，Python 已 3.12 LTS，Miniconda 已支持 mamba 加速，ohmyzsh 仍是默认。

一、Python 3.12 LTS 已成主流

Python 3.10（2021-10）：match-case、类型注解增强。
Python 3.11（2022-10）：性能提升 10-60%（CPython 优化）、异常组（ExceptionGroup）。
Python 3.12（2023-10）：f-string 限制取消、类型注解改进、更精确的错误信息。
Python 3.13（2024-10 计划）：JIT 编译器（实验性）、GIL 改进（PEP 703）。

2024 选 Python 版本：

场景	推荐版本
通用开发	Python 3.12（稳定 + 性能）
AI / 机器学习	Python 3.10/3.11（PyTorch / TensorFlow 兼容）
新项目	Python 3.12
维护老代码	Python 3.8 / 3.9（EOL 2024-10）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


# 2024 装 Python 3.12
yum install -y openssl-devel bzip2-devel libffi-devel zlib-devel \
 ncurses-devel sqlite-devel readline-devel tk-devel \
 gdbm-devel db4-devel libpcap-devel xz-devel

wget https://www.python.org/ftp/python/3.12.6/Python-3.12.6.tgz
tar -zxvf Python-3.12.6.tgz
cd Python-3.12.6
./configure --enable-optimizations --prefix=/usr/local/python3
make -j$(nproc)
make altinstall

ln -sf /usr/local/python3/bin/python3.12 /usr/bin/python3.12
ln -sf /usr/local/python3/bin/pip3.12 /usr/bin/pip3.12

二、`pyenv` 已成 Python 版本管理的事实标准

2017 那篇没提 pyenv。2024 主流：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15


# 装 pyenv
curl https://pyenv.run | bash
export PATH="$HOME/.pyenv/bin:$PATH"
eval "$(pyenv init -)"

# 装多版本
pyenv install 3.10.14
pyenv install 3.11.9
pyenv install 3.12.6

# 项目级版本
cd myproject
pyenv local 3.12.6
python --version
# Python 3.12.6

优势：每项目独立 Python 版本，不污染系统。
vs conda：pyenv + venv 已是 2024 主流（conda 在数据科学领域仍主流）。

三、`uv`（Rust 写的 Python 包管理器）成为新王

uv（astral-sh/uv，2024-02 推出）—— Rust 写的 pip 替代品：

1
2
3
4
5
6
7
8


# 装（10x 速度于 pip）
curl -LsSf https://astral.sh/uv/install.sh | sh

# 用（替代 pip + venv + pip-tools）
uv venv myenv
source myenv/bin/activate
uv pip install requests flask
# 比 pip 快 10-100 倍

2024 趋势：新项目大量用 uv，pyproject.toml 标准化。

四、`mamba` / `micromamba` 加速 conda

2017 那篇用 Miniconda。2024 conda 仍然慢——推荐 mamba 或 micromamba：

1
2
3
4
5
6
7
8
9


# 装 micromamba（无需 root）
curl -Ls https://micro.mamba.pm/api/micromamba/linux-64/latest | tar -xvj bin/micromamba
./bin/micromamba shell init -s bash -p ~/micromamba
source ~/.bashrc

# 装包（比 conda 快 5-10 倍）
micromamba create -n py312 python=3.12
micromamba activate py312
micromamba install numpy pandas

2024 数据科学领域仍以 conda / mamba 为主——科学计算包兼容性最好。

五、`poetry` / `pdm` 已成现代 Python 项目管理

传统 requirements.txt + pip 已落后。
2024 主流：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


# Poetry
curl -sSL https://install.python-poetry.org | python3 -
poetry new myproject
cd myproject
poetry add requests flask
poetry install

# PDM
pip install pdm
pdm init
pdm add requests
pdm install

优势：自动锁文件（poetry.lock / pdm.lock）—— 团队每人装出的环境完全一致。
pyproject.toml 标准化（PEP 621）。

六、Oh My Zsh 的"接班人"

2017 那篇是 ohmyzsh。2024 视角：

ohmyzsh 仍在用，但有更轻量替代：
- Zim（启动快 3 倍）
- Zinit（按需加载）
- Oh My Zsh + 主题精简（去掉 90% 不用的功能）
2024 趋势：
- Starship（Rust 写的 prompt）—— 跨 shell 统一，比 ohmyzsh 默认 prompt 快 10 倍
- Atuin（Rust 写的 shell history）—— 跨机器同步历史命令、全文搜索

1
2
3
4
5


# 装 Atuin
curl --proto '=https' --tlsv1.2 -sSf https://setup.atuin.sh | sh
atuin login
atuin sync
# 跨机器同步历史命令

七、AI 时代的 Python 生态

2024 大量新 Python 项目是 AI / LLM 应用：
- LangChain（LLM 编排）
- LlamaIndex（RAG）
- Haystack（NLP 框架）
- vLLM（LLM 推理）
- PyTorch / TensorFlow（深度学习）
- Transformers（Hugging Face）

1
2
3
4


# 2024 AI 项目的"开发机配置"
micromamba create -n llm python=3.10
micromamba activate llm
pip install torch transformers vllm

八、CentOS 7 → Rocky 9 的 Python 迁移

CentOS 7 默认 Python 2.7（已 EOL）。
Rocky 9 默认 Python 3.9（2024 已 EOL，需升 3.12）。
迁移要点：
- 不要直接覆盖系统 python（影响 yum / dnf）
- 用 pyenv 或 conda 装应用 Python
- 脚本 shebang：#!/usr/bin/python → #!/usr/bin/python3
- pip 2 完全不可用

FRP 内网穿透实战：让公网 VPS 暴露内网 SSH、MySQL 与 Web 服务

Fri, 15 Sep 2017 00:00:00 +0800

背景

家里或公司内网的机器没有公网 IP，外面想 SSH 进去、连 MySQL、访问内网 Web 系统——传统的方案是路由器做端口映射，或者买花生壳这种商业服务。frp（Fast Reverse Proxy）用一台有公网 IP 的 VPS 作为"中转"，让任何内网服务"看起来"跑在公网 IP 上，部署简单，开源免费。

适用场景：

远程办公，需要从公网 SSH 进内网开发机
临时把内网 MySQL 暴露给第三方调试
异地访问家里的 NAS、摄像头、Git 服务
没有公网 IP 的云主机需要对外提供 Web 服务

前置知识：

一台有公网 IP 的 VPS（带宽建议 ≥ 5Mbps）
Linux 基础（systemd、iptables）
一点网络常识（端口、TCP/UDP）

注意：frp 把内网服务"反向"暴露到公网，任何能连到 frps 端口的人都能访问。请务必：

使用 token 鉴权

配合 fail2ban 或 ACL 限制来源 IP

暴露 SSH 等高危服务时启用 stcp/xtcp 加密模式

一、frp 工作原理

1
2


[公网客户端] ──> frps (公网 VPS :7000) ──> frpc (内网机器)
 ↑ 中转、反向代理 ↑ 主动连接建立隧道

关键点：

frps（server）跑在公网 VPS，监听 bind_port（默认 7000）
frpc（client）跑在内网机器，主动连到 frps，建立长连接
公网客户端访问 VPS_IP:remote_port，frps 把流量通过已建立的隧道转发给 frpc，再由 frpc 转发到内网的 local_ip:local_port

支持的代理类型（frp 0.20+）：

类型	用途	备注
`tcp`	纯 TCP 端口映射	SSH、MySQL、Redis、自定义协议
`udp`	纯 UDP 端口映射	DNS、游戏、VoIP
`http`	HTTP 应用	支持改 Host Header、basic auth
`https`	HTTPS 应用	配合证书
`stcp`	安全 TCP（需两边都跑 frpc）	不在服务端暴露端口，访问者也需密钥
`xtcp`	点对点穿透	流量不经过服务器中转，UDP 打洞

二、安装

2.1 下载二进制

frp 0.43.0（2022-02 发布，长期维护版本）：

1
2
3
4
5
6
7


# Linux x86_64
curl -O https://github.com/fatedier/frp/releases/download/v0.43.0/frp_0.43.0_linux_amd64.tar.gz
tar -zxvf frp_0.43.0_linux_amd64.tar.gz -C /usr/local/games
mv /usr/local/games/frp_0.43.0_linux_amd64 /usr/local/games/rp

# Windows 客户端
# https://github.com/fatedier/frp/releases/download/v0.43.0/frp_0.43.0_windows_amd64.zip

2024-05 更新提示：frp 已迭代到 0.60+，大版本（v0.50+）开始推 TOML 配置，0.43 仍是 INI 经典格式。本篇示例兼顾 0.43（INI）和 0.50+（TOML）。

2.2 Docker 部署

1
2
3
4
5
6
7
8
9


# 服务端
docker run -d --restart=always --network host \
 -v /etc/frp/frps.ini:/etc/frp/frps.ini \
 --name frps snowdreamtech/frps

# 客户端
docker run -d --restart=always --network host \
 -v /etc/frp/frpc.ini:/etc/frp/frpc.ini \
 --name frpc snowdreamtech/frpc

--network host 让 frpc 直接监听内网服务端口，避免 Docker 端口映射的复杂性。

三、配置详解（INI 经典格式）

3.1 服务端 frps.ini

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15


[common]
bind_addr = 0.0.0.0
bind_port = 7000
# 鉴权令牌，客户端必须一致
token = your_strong_token_here
# Dashboard 端口（可选，浏览器看连接状态）
dashboard_port = 7500
dashboard_user = admin
dashboard_pwd = your_dashboard_pwd
# 日志
log_file = /var/log/frps.log
log_level = info
log_max_days = 7
# 允许的端口范围（防止被滥用）
allow_ports = 2000-3000,5000-6000,6000-10000

关键参数：

token 必设，防止别人白嫖你的 VPS
allow_ports 限制客户端能使用的 remote_port 段
dashboard_port 默认关闭，开启后通过浏览器看连接状态

3.2 客户端 frpc.ini（内网机器）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34


[common]
server_addr = x.x.x.x # frps 的公网 IP
server_port = 7000
token = your_strong_token_here

# SSH 暴露
[ssh]
type = tcp
local_ip = 127.0.0.1
local_port = 22
remote_port = 6000

# MySQL 暴露
[mysql]
type = tcp
local_ip = 127.0.0.1
local_port = 3306
remote_port = 3307

# Web 服务（HTTP 代理）
[web]
type = http
local_port = 8080
local_ip = 127.0.0.1
custom_domains = your.domain.com
locations = /

# 加密模式（推荐用于敏感服务）
[secret_ssh]
type = stcp
# 只有知道 sk 的人才能连
sk = abcdefgh
local_ip = 127.0.0.1
local_port = 22

四、HTTPS / Web 应用场景

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25


# frps.ini（服务端）
[common]
bind_addr = 0.0.0.0
bind_port = 7000
vhost_http_port = 80
vhost_https_port = 443
token = your_strong_token_here

# frpc.ini（客户端）
[common]
server_addr = x.x.x.x
server_port = 7000
token = your_strong_token_here

[blog]
type = http
local_port = 3000
local_ip = 127.0.0.1
custom_domains = blog.example.com

[wiki]
type = https
local_port = 443
local_ip = 127.0.0.1
custom_domains = wiki.example.com

注意：域名解析到 frps 的公网 IP，frps 根据 custom_domains 路由到不同 frpc。

五、systemd 守护（推荐生产方式）

5.1 服务端 /etc/systemd/system/rps.service

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13


[Unit]
Description = frp server
After = network.target syslog.target
Wants = network.target

[Service]
Type = simple
ExecStart = /usr/local/games/rp/frps -c /usr/local/games/rp/frps.ini
Restart = always
RestartSec = 5s

[Install]
WantedBy = multi-user.target

5.2 客户端 /etc/systemd/system/rpc.service

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


[Unit]
Description = frp client
After = network.target
Wants = network.target

[Service]
Type = simple
ExecStart = /usr/local/games/rp/frpc -c /usr/local/games/rp/frpc.ini
Restart = always
RestartSec = 20s
User = nobody

[Install]
WantedBy = multi-user.target

1
2
3
4


systemctl daemon-reload
systemctl enable --now rps # 服务端
systemctl enable --now rpc # 客户端
systemctl status rpc

5.3 验证连接

1
2
3


# 从公网客户端访问
ssh -p 6000 root@<vps-public-ip>
# 实际上等同于 SSH 进内网机器的 22 端口

六、TOML 格式（frp 0.50+）

frp 0.50+ 推荐 TOML：

1
2
3
4
5
6
7
8
9


# frps.toml
bindAddr = "0.0.0.0"
bindPort = 7000
auth.method = "token"
auth.token = "your_strong_token_here"
webServer.addr = "0.0.0.0"
webServer.port = 7500
webServer.user = "admin"
webServer.password = "your_dashboard_pwd"

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19


# frpc.toml
serverAddr = "x.x.x.x"
serverPort = 7000
auth.method = "token"
auth.token = "your_strong_token_here"

[[proxies]]
name = "ssh"
type = "tcp"
localIP = "127.0.0.1"
localPort = 22
remotePort = 6000

[[proxies]]
name = "mysql"
type = "tcp"
localIP = "127.0.0.1"
localPort = 3306
remotePort = 3307

七、批量部署多个内网机器

假设一台公网 VPS 暴露多个内网客户的 MySQL/SSH：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13


# 客户端 A（客户 A）
[mysql]
type = tcp
local_ip = 127.0.0.1
local_port = 3306
remote_port = 6101

# 客户端 B（客户 B）
[mysql]
type = tcp
local_ip = 127.0.0.1
local_port = 3306
remote_port = 6102

配合 fail2ban：因为所有 frpc 看到的来源都是 127.0.0.1，必须在 frps 端 配置 fail2ban，按 frps 日志里的真实 IP 拉黑。

1
2
3
4


# /etc/fail2ban/filter.d/frps.conf
[Definition]
failregex = ^.*get a user connection \[<HOST>:[0-9]*\]
ignoreregex = ^.*\[.*gateway.*

八、常见问题

8.1 连接后立即断开

检查 VPS 的 7000 和 remote_port 是否在安全组/防火墙开放
客户端 server_addr 写错（写成了内网 IP）
token 不一致

8.2 速度慢

frp 走 TCP 中转，带宽 = min(VPS 上行, frpc 上行)
加密模式 stcp/xtcp 略增加 CPU 消耗
大文件传输考虑 rclone + 临时公网 OSS

8.3 0.50+ 升级后 INI 不识别

frp 0.50 删除了对 INI 的支持，统一 TOML。用 v0.43.0 仍是 INI，v0.52.3 之后基本 TOML 化。

九、卸载

1
2
3
4
5
6


systemctl stop rpc
systemctl disable rpc
rm -rf /etc/systemd/system/rpc.service
rm -rf /usr/local/games/rp
systemctl daemon-reload
systemctl reset-failed rpc

小结

frp 0.20~0.43 是经典 INI 时代，0.50+ 切到 TOML，核心架构没变：主动连接 + 长隧道 + 端口映射。生产部署三个要点：

必设 token，避免被白嫖
配合 fail2ban，按 frps 日志真实 IP 拉黑攻击者
systemd 守护 + Restart=always，客户端断开自动重连

下一步：

把 frps 配合 nginxWebUI 做证书自动续期（HTTP 代理场景）
用 stcp/xtcp 加密模式暴露 SSH
高敏感服务用 WireGuard 替代 frp（点对点，无中转）

2024 视角：frp 0.59+ 在云原生时代的"角色变化"

2017 那篇 frp 是"内网穿透神器"。2024 视角下，frp 仍是经典，但有 3 个新选择更激进。

一、frp 版本进化（2024 主流）

frp 0.59+（2024-06 起持续更新）：全面 TOML 化，INI 已被废弃。
新特性：
- WebSocket over TLS（2024）：WSS 模式走 443 端口，能穿透企业防火墙
- QUIC 协议（实验性）：UDP 传输，比 TCP 模式延迟低 20%
- 带宽限制 / 速率统计：精确控制客户端带宽
- 多 frpc 共享 frps：跨 NAT 设备互联

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


# frps.toml (0.59+)
bindAddr = "0.0.0.0"
bindPort = 7000
auth.method = "token"
auth.token = "your_strong_token"

# 启用 WSS（重要：能穿透企业防火墙）
transport.websocket.enable = true
transport.websocket.url = "/_frp_ws"

# 启用 QUIC（2024 新）
transport.quic.enable = true

二、Cloudflare Tunnel——2024 主流替代

Cloudflare Tunnel（cloudflared）：不需要公网 VPS——Cloudflare 边缘做"中转"。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


# 装
curl -fsSL https://pkg.cloudflare.com/cloudflare-main.gpg | sudo tee /usr/share/keyrings/cloudflare-main.gpg >/dev/null
echo 'deb [signed-by=/usr/share/keyrings/cloudflare-main.gpg] https://pkg.cloudflare.com/cloudflared focal main' | sudo tee /etc/apt/sources.list.d/cloudflared.list
apt update && apt install cloudflared

# 登录
cloudflared tunnel login
cloudflared tunnel create my-tunnel
cloudflared tunnel route dns my-tunnel myapp.example.com

# 启动（后台）
cloudflared tunnel --config /etc/cloudflared/config.yml run my-tunnel

1
2
3
4
5
6
7
8


# /etc/cloudflared/config.yml
tunnel: my-tunnel
credentials-file: /root/.cloudflared/xxxxxx.json

ingress:
 - hostname: myapp.example.com
 service: http://localhost:3000
 - service: http_status:404

优势：
- 不需要公网 VPS（Cloudflare 边缘免费）
- 零暴露端口（只用 HTTPS 443 出站）
- Cloudflare 整套生态：CDN / WAF / DDoS 防护 / 零信任鉴权
- 免费 50 个 tunnel / 1000 次请求/秒
2024 大量新项目用 Cloudflare Tunnel 替代 frp。

三、Tailscale —— “点对点 VPN” 替代内网穿透

2017 那篇 frp 是"反代中转"。2024 主流是 P2P VPN：

1
2
3
4


# 装 Tailscale
curl -fsSL https://tailscale.com/install.sh | sh
tailscale up
# 自动获得 100.x.x.x 虚拟 IP

Tailscale SSH 替代 SSH 隧道：
- 不需要公网 IP
- 不需要 frp 中转
- 鉴权走 Tailscale ACL（不是 SSH 公私钥）

1
2
3
4


# 直接 SSH 任何 Tailscale 设备
ssh user@machine-name
# Tailscale 自动协商点对点连接（UDP 打洞）
# 如果 P2P 失败，自动 fallback 到 Tailscale DERP 中转（仍比 frp 简单）

Tailscale ACL（基于 WireGuard）：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


// tailscale ACL
{
 "acls": [
 {
 "action": "accept",
 "src": ["group:dev"],
 "dst": ["tag:prod-server:22"]
 }
 ]
}

四、frp 在 K8s 时代的"角色"

2024 趋势：K8s 项目用 Ingress + Cloudflare Tunnel 替代 frp。
frp 仍在用的场景：
- 自建机房（无 Cloudflare）
- 临时调试（1 小时建一个隧道）
- 边缘设备（IoT / 工厂）
- 企业内网（不能用 Cloudflare）

五、frp 安全加固的"现代"姿势

2017 那篇给 token 鉴权。2024 升级：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


# frps.toml - 强认证
auth.method = "token"
auth.token = "<random-32-chars>"
auth.additionalScopes = ["Heartbeat"]

# TLS 加密（防中间人）
transport.tls.force = true

# 限速（防滥用）
transport.maxPoolCount = 5

1
2
3
4
5
6
7


# frpc.toml - 强认证
auth.method = "token"
auth.token = "<random-32-chars>"

# 多重 TLS
transport.tls.enable = true
transport.tls.disableCustomTLSFirstByte = false

六、frp 性能优化

2024 实测：frp 0.59+ 在 1Gbps 内网下，单 tunnel 可达 800+ Mbps（TCP 直连）。
多 tunnel 负载（frp 0.59+）：

1
2
3
4
5
6
7


[[proxies]]
name = "web1"
type = "tcp"
localPort = 80
remotePort = 8080
# 启用多路复用
transport.bandwidthLimit = "100MB"

QUIC 协议（2024 实验）：减少握手延迟（首次连接 0-RTT）。

七、frp 的"替代品"对比（2024）

工具	架构	适用
frp	客户端-服务器	自建 VPS、临时穿透
Cloudflare Tunnel	客户端-Cloudflare 边缘	不需要 VPS、零信任
Tailscale	P2P（WireGuard）	长期组网、家庭 / 远程办公
ZeroTier	P2P + Controller	多平台、大规模
nps（国产）	客户端-服务器	国内网络、简单场景
lanproxy（国产）	Java 写	简单 Java 项目集成
rathole（2022+）	Rust 写	性能敏感、嵌入式
bore（Rust）	极简	个人项目、临时调试

八、frp + Cloudflare Tunnel 的"混合"

2024 一些项目同时用 frp + Cloudflare Tunnel：
- frp 做"内网到 VPS"的隧道
- Cloudflare Tunnel 做"VPS 到公网"的暴露
- 效果：VPS 的 IP 永远不暴露（Cloudflare 边缘代为接受流量）

九、AI 时代的"运维代理"

2024 LLM 时代：AI Agent（如 Claude Code / Devin）需要 SSH 访问内网服务器。
Tailscale / Cloudflare Tunnel 让 AI Agent 不需要公网 IP 就能访问内网。
未来：frp 在 AI Agent 场景会"云化"——AI Agent 通过 Tunnel 远程执行命令。

源文档：

os/linux/第三方tools/net/frp/内网穿透.md（内网穿透场景、systemd 模板、Docker 部署）
os/linux/第三方tools/net/frp/frp.md（多客户端批量配置、fail2ban 集成、TOML 新格式）

Debian 家族发行版全指南：Debian 9/10/11 装机、换源、桌面、root 账号与常用配置

Thu, 15 Jun 2017 00:00:00 +0800

一、为什么是 2017 年这一份

2017 年这个时间点是 Debian 的一个关键节点：

Debian 9 (stretch) —— 2017-06-17 发布，是 2017-2019 的稳定主力
Debian 10 (buster) —— 2019-07-06 发布，开始向新默认过渡
Debian 11 (bullseye) —— 2021-08-14 发布，进入新 LTS 时代

这一篇**覆盖 Debian 家族（不含 Ubuntu 子系，单独成文）**的装机、换源、桌面、root 账号、常用配置——一个完整的"Debian 全家桶"指南。

阅读建议：本文按"先看版本 → 选对应章节"组织。Debian 9 装在 2017、Debian 10 装在 2019、Debian 11 装在 2021，版本号和实际部署时间匹配。换源部分同时给 USTC、清华、阿里云三个国内镜像。

二、Debian 通用装机流程

2.1 修改密码 / 退出登录

1
2
3


passwd # 修改当前用户密码
exit # 退出登录
logout # 同 exit

2.2 切换 root 账号

Debian 安装时 root 密码默认未启用（Ubuntu 也是）。要给 root 设密码：

1
2
3
4


sudo passwd root
# 输入 sudo 用户的密码
# 输入新 root 密码
# 确认 root 密码

2.3 允许 root 登录 GNOME

如果是 desktop 安装，root 默认不能登录 GDM。要改两处：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16


# 1. 改 GDM 配置
vim /etc/gdm3/daemon.conf
# [security]
# AllowRoot = true

# 2. 注释掉 PAM 限制
vim /etc/pam.d/gdm-password
# 注释这行
# auth required pam_succeed_if.so user != root quiet_success

# 3. 允许 root SSH
vim /etc/ssh/sshd_config
# PermitRootLogin yes

# 4. 重启 SSH
systemctl restart sshd

2.4 挂载 CD 驱动（安装 VMware Tools）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21


# 1. 切换 root
su

# 2. 挂载 CD
mkdir -p /mnt/cdrom
mount -t auto /dev/cdrom /mnt/cdrom
ls -l /mnt/cdrom

# 3. 解压 VMware Tools
cd /home
tar zxpf /mnt/cdrom/VMwareTools-x.x.x-yyyy.tar.gz
umount /dev/cdrom
cd vmware-tools-distrib
sudo ./vmware-install.pl

# 4. 清理
rm /tmp/VMwareTools-version.tar.gz
rm -rf /tmp/vmware-tools-distrib

# 5. Debian 9+ 直接装 open-vm-tools
apt-get install open-vm-tools

三、Debian 9 (stretch) —— 2017-06-17 发布

Debian 9 代号 stretch，是 2017-2019 的稳定主力。

3.1 换源：USTC / 清华

1
2
3
4


sudo sed -i 's/deb.debian.org/mirrors.ustc.edu.cn/g' /etc/apt/sources.list
sudo sed -i 's|security.debian.org/debian-security|mirrors.ustc.edu.cn/debian-security|g' /etc/apt/sources.list

sudo apt-get update

或者直接编辑 /etc/apt/sources.list：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


deb https://mirrors.ustc.edu.cn/debian/ stretch main contrib non-free
deb-src https://mirrors.ustc.edu.cn/debian/ stretch main contrib non-free

deb https://mirrors.ustc.edu.cn/debian/ stretch-updates main contrib non-free
deb-src https://mirrors.ustc.edu.cn/debian/ stretch-updates main contrib non-free

deb https://mirrors.ustc.edu.cn/debian/ stretch-backports main contrib non-free
deb-src https://mirrors.ustc.edu.cn/debian/ stretch-backports main contrib non-free

deb https://mirrors.ustc.edu.cn/debian-security/ stretch/updates main contrib non-free
deb-src https://mirrors.ustc.edu.cn/debian-security/ stretch/updates main contrib non-free

清华源（同样可替换）：

1
2
3
4


deb https://mirrors.tuna.tsinghua.edu.cn/debian/ stretch main contrib non-free
deb https://mirrors.tuna.tsinghua.edu.cn/debian/ stretch-updates main contrib non-free
deb https://mirrors.tuna.tsinghua.edu.cn/debian/ stretch-backports main contrib non-free
deb https://mirrors.tuna.tsinghua.edu.cn/debian-security stretch/updates main contrib non-free

3.2 报错：NO_PUBKEY

1
2
3


W: GPG error: https://mirrors.ustc.edu.cn/debian stretch-backports InRelease: 
The following signatures couldn't be verified because the public key is not available: 
NO_PUBKEY 648ACFD622F3D138 NO_PUBKEY 0E98404D386FA1D9

解决：

1
2
3


dpkg --force-depends -P debian-archive-keyring
apt --fix-broken install
apt-get update

3.3 自定义终端快捷键

GNOME 默认没有 Ctrl+Alt+T 打开终端。手动加：

鼠标右击 → 设置 → 设备 → 键盘 → 自定义快捷键 → 添加
名称：Terminal
命令：gnome-terminal
单击"编辑"，按 Ctrl+Alt+T

3.4 解决"插入光盘"提示

安装完系统后 apt update 经常弹"插入光盘"提示。原因是 /etc/apt/sources.list 里还留着 cdrom 行：

1
2


vim /etc/apt/sources.list
# 注释掉 deb cdrom:... 这一行

3.5 安装 Docker

1
2
3
4
5


curl -sSL https://get.docker.com/ | sh
systemctl status docker
systemctl enable docker
systemctl start docker
docker info

3.6 安装 docker-compose

1
2
3
4


curl -L "https://github.com/docker/compose/releases/download/v2.2.3/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose
chmod +x /usr/local/bin/docker-compose
ln -s /usr/local/bin/docker-compose /usr/bin/docker-compose
docker-compose --version

四、Debian 10 (buster) —— 2019-07-06 发布

4.1 换源：USTC

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13


vim /etc/apt/sources.list

deb https://mirrors.ustc.edu.cn/debian/ buster main contrib non-free
deb https://mirrors.ustc.edu.cn/debian/ buster-updates main contrib non-free
deb https://mirrors.ustc.edu.cn/debian/ buster-backports main contrib non-free
deb https://mirrors.ustc.edu.cn/debian-security/ buster/updates main contrib non-free

deb-src https://mirrors.ustc.edu.cn/debian/ buster main contrib non-free
deb-src https://mirrors.ustc.edu.cn/debian/ buster-updates main contrib non-free
deb-src https://mirrors.ustc.edu.cn/debian/ buster-backports main contrib non-free
deb-src https://mirrors.ustc.edu.cn/debian-security/ buster/updates main contrib non-free

apt-get update

五、Debian 11 (bullseye) —— 2021-08-14 发布

5.1 换源

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18


# 方法一：sed 一行替换
sed -i "s@http://\(deb\|security\).debian.org@https://mirrors.tuna.tsinghua.edu.cn@g" /etc/apt/sources.list

# 备份
mv /etc/apt/sources.list /etc/apt/sources.listbak

# https 源需要安装
apt install apt-transport-https ca-certificates

# 完整 sources.list
cat <<"EOF" >/etc/apt/sources.list
deb http://mirrors.ustc.edu.cn/debian bullseye main
deb-src http://mirrors.ustc.edu.cn/debian bullseye main
deb http://mirrors.ustc.edu.cn/debian-security/ bullseye-security main
deb-src http://mirrors.ustc.edu.cn/debian-security/ bullseye-security main
deb http://mirrors.ustc.edu.cn/debian bullseye-updates main
deb-src http://mirrors.ustc.edu.cn/debian bullseye-updates main
EOF

5.2 阿里云源（云上 ECS 常用）

1
2


sudo sed -i 's/deb.debian.org/mirrors.ustc.edu.cn/g' /etc/apt/sources.list
sudo sed -i 's/mirrors.cloud.aliyuncs.com/mirrors.aliyun.com/g' /etc/apt/sources.list

阿里云镜像：mirrors.cloud.aliyuncs.com 是阿里云内网域名，ECS 上用最快；mirrors.aliyun.com 是公网域名。

六、装桌面 / 输入法 / 显卡

6.1 安装 oh-my-zsh

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29


# 安装 zsh
apt install zsh
chsh -s /bin/zsh
# 重新登录

# 安装 oh-my-zsh
sh -c "$(curl -fsSL https://raw.github.com/robbyrussell/oh-my-zsh/master/tools/install.sh)"

# 主题推荐
# ll ~/.oh-my-zsh/themes
vim ~/.zshrc
# ZSH_THEME="robbyrussell"
# 改为
# ZSH_THEME="bira"

# 插件：自动提示 + 语法高亮
git clone https://github.com/zsh-users/zsh-autosuggestions \
 ${ZSH_CUSTOM:-~/.oh-my-zsh/custom}/plugins/zsh-autosuggestions
git clone https://github.com/zsh-users/zsh-syntax-highlighting.git \
 ${ZSH_CUSTOM:-~/.oh-my-zsh/custom}/plugins/zsh-syntax-highlighting

vim ~/.zshrc
plugins=(
 git
 zsh-autosuggestions
 zsh-syntax-highlighting
)

source ~/.zshrc

6.2 显卡驱动

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27


# 升级系统
sudo apt update && sudo apt upgrade -y

# 禁用开源驱动 Nouveau
sudo vim /etc/modprobe.d/blacklist.conf
# blacklist nouveau
# options nouveau modeset=0
sudo update-initramfs -u
sudo reboot

# 验证禁用成功
lsmod | grep nouveau

# 卸载旧驱动（如有）
sudo apt purge nvidia-*
sudo apt autoremove

# 安装 NVIDIA 驱动
sudo add-apt-repository ppa:graphics-drivers/ppa
sudo apt update
ubuntu-drivers devices
# 选带 "recommended" 的版本
sudo apt install -y nvidia-driver-580
sudo reboot

# 验证
nvidia-smi

内核升级后驱动失效：

1
2
3


sudo apt install --reinstall nvidia-driver-580
# 或
sudo apt install build-essential linux-headers-$(uname -r)

完成安装后谨慎 sudo apt upgrade：可能因内核更新导致驱动失效。

七、磁盘操作

1
2
3
4
5
6


# 磁盘占用
df -h
df -lh

# 查系统版本
cat /etc/os-release

八、查路由 / 网卡

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


# 查路由
netstat -rn
ip route

# 查网卡
ifconfig
ip a

# 清空当前路由
ip route flush dev eth0

九、网卡配置（Debian 9/10）

1

vim /etc/network/interfaces

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18


# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
source /etc/network/interfaces.d/*

# 环回口
auto lo
iface lo inet loopback

# DHCP
auto eth0
iface eth0 inet dhcp

# 静态 IP
auto eth0
iface eth0 inet static
address 192.168.1.122
netmask 255.255.255.0
gateway 192.168.1.2

1
2
3
4


# 重启
/etc/init.d/networking restart
# 或
systemctl restart networking

十、DNS 配置

1
2
3
4
5
6
7


# 临时
cat /etc/resolv.conf
# nameserver 8.8.8.8
# nameserver 114.114.114.114

# 永久
sudo apt install resolvconf

十一、前置知识 / 下一步

想看 Ubuntu 22.04 / 24.04 装机流程（netplan）→ 翻本系列《Ubuntu 发行版实战》
想看 LVM 扩容/缩容 → 翻本系列《Linux 磁盘与 LVM 深度实践》
想看 SSH 公私钥免密登录 → 翻本系列《Linux 远程登录与安全实践》
想看 Deepin 桌面 / Wine 兼容 → 翻本系列《Deepin 与 Kali 发行版实战》

十二、参考资源

Debian 官方发行说明：https://www.debian.org/releases/
Debian 镜像列表（USTC）：https://mirrors.ustc.edu.cn/debian/
Debian 镜像列表（清华）：https://mirrors.tuna.tsinghua.edu.cn/debian/
Debian 镜像列表（阿里云）：https://developer.aliyun.com/mirror/debian
Debian 管理员手册：https://debian-handbook.info/

2024 视角：Debian 12 (Bookworm) 已是 2024 主流，13 (Trixie) 进入测试

2017 那篇覆盖 Debian 9/10/11。2024 视角下，Debian 12 (Bookworm)（2023-06 发布）已稳定，Debian 13 (Trixie) 进入 testing 阶段。

一、Debian 12 (Bookworm) 装机要点

Debian 12.6（2024-09 最新）—— Linux 6.1 LTS + GCC 12.2 + Glibc 2.36 + systemd 252。
新增：
- APT 仓库格式：从 .list 改成 .sources（DEB822 格式）
- Multi-arch 改进：libc6:amd64 + libc6:i386 并存更稳
- needrestart 自动检测服务需要重启的库

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


# /etc/apt/sources.list → 改成 .sources 格式
cat << "EOF" > /etc/apt/sources.list.d/debian.sources
Types: deb
URIs: https://mirrors.tuna.tsinghua.edu.cn/debian
Suites: bookworm bookworm-updates
Components: main contrib non-free non-free-firmware
Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg

Types: deb
URIs: https://mirrors.tuna.tsinghua.edu.cn/debian-security
Suites: bookworm-security
Components: main contrib non-free non-free-firmware
Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg
EOF

二、Debian 12 的"开箱即用"变化

NetworkManager 取代 ifupdown（默认启用）：

1
2
3


nmcli device status
nmcli connection show
nmcli connection up "Wired connection 1"

systemd-resolved 是默认 DNS 客户端：

1
2
3


cat /etc/systemd/resolved.conf
# DNS=1.1.1.1
# FallbackDNS=8.8.8.8

Python 3.11 默认（不是 3.9）。
OpenSSH 9.2+：默认禁用 DSA / ECDSA（只接受 ed25519 / rsa-sha2-256）。
/usr/sbin/policy-rc.d 仍然管用（apt 装包时不自动启动服务）。

三、Debian 13 (Trixie) 2024 状态

Debian 13 “Trixie”（2024 进入 testing，预计 2025 年中 GA）：
- Linux 6.10 内核
- GCC 14、Glibc 2.40
- Python 3.12、systemd 256+
- Wayland 默认（X11 退场）

1
2
3


# 2024 测 Debian 13 (testing)
cat /etc/apt/sources.list
deb https://mirrors.tuna.tsinghua.edu.cn/debian/ trixie main contrib non-free non-free-firmware

四、Debian 12 的"装机后"必做

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17


# 1. 换源
apt install -y curl wget vim
# 改 /etc/apt/sources.list 为国内源

# 2. 装常用工具
apt install -y net-tools lsof p7zip p7zip-full git zsh neofetch

# 3. 配置时区
timedatectl set-timezone Asia/Shanghai

# 4. 启用 root SSH
sed -i 's/#PermitRootLogin.*/PermitRootLogin prohibit-password/' /etc/ssh/sshd_config
systemctl restart sshd

# 5. 配置自动更新（可选）
apt install -y unattended-upgrades
dpkg-reconfigure -plow unattended-upgrades

五、Debian 桌面环境 2024 选择

GNOME 43（Debian 12 默认）：Wayland 默认。
KDE Plasma 5.27（Debian 12）：稳定。
XFCE 4.18：轻量。
Cinnamon 5.6：Linux Mint 同款。
LXQt 1.2：超轻量。

1
2
3
4


# Debian 12 装 KDE
apt install -y kde-plasma-desktop sddm
systemctl set-default graphical.target
systemctl start sddm

六、Debian 12 装 Docker / K8s

1
2
3
4
5
6
7


# 2024 装 Docker（用 Docker 官方源，不用 Debian 仓库）
apt install -y ca-certificates curl gnupg
install -m 0755 -d /etc/apt/keyrings
curl -fsSL https://download.docker.com/linux/debian/gpg | gpg --dearmor -o /etc/apt/keyrings/docker.gpg
echo "deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.gpg] https://download.docker.com/linux/debian bookworm stable" > /etc/apt/sources.list.d/docker.list
apt update
apt install -y docker-ce docker-ce-cli containerd.io docker-compose-plugin

Debian 12 装 K8s 1.30+（2024）：

1
2
3
4
5


curl -fsSL https://pkgs.k8s.io/core:/stable:/v1.30/deb/Release.key | gpg --dearmor -o /etc/apt/keyrings/kubernetes-apt-keyring.gpg
echo "deb [signed-by=/etc/apt/keyrings/kubernetes-apt-keyring.gpg] https://pkgs.k8s.io/core:/stable:/v1.30/deb/ /" > /etc/apt/sources.list.d/kubernetes.list
apt update
apt install -y kubelet kubeadm kubectl
apt-mark hold kubelet kubeadm kubectl

七、Debian 在云时代的"角色"

2024 容器基础镜像首选：debian:bookworm-slim（~ 75MB）。
2024 大量云项目用 Debian 作为容器基础（比 Ubuntu LTS 更稳定）。
Debian 12 衍生：
- Ubuntu 24.04 LTS（Debian 12 + Canonical 定制）
- Raspberry Pi OS（基于 Debian 12）
- Devuan（无 systemd 的 Debian 衍生版）
- Kali Linux 2024.2（Debian 12 + 渗透测试工具）

八、`backports` 仓库 2024 现状

Debian 12 backports（bookworm-backports）2024 仍在维护：
- 给生产系统装较新版本而不破坏稳定版

1
2
3
4


# 装新版 vim（从 backports）
echo "deb https://mirrors.tuna.tsinghua.edu.cn/debian/ bookworm-backports main contrib non-free" > /etc/apt/sources.list.d/backports.list
apt update
apt install -y -t bookworm-backports vim

九、Debian 的"长期支持"路线

Debian 11 (Bullseye)：LTS 到 2026-08（由 Debian LTS 团队 + Freexian 维护）。
Debian 12 (Bookworm)：LTS 到 2028-06。
Debian 13 (Trixie)：预计 2030 年中进入 LTS。

Debian 的 LTS 是"社区支持的"——不是 Red Hat 那种"商业付费支持"。

十、Debian 装机常见 2024 坑

/etc/resolv.conf 是软链接到 /run/systemd/resolve/stub-resolv.conf（不要手动改）。
NetworkManager 跟 ifupdown 冲突——新装用 NetworkManager。
systemd-resolved 是默认 DNS 客户端——改 /etc/systemd/resolved.conf 才生效。
GRUB 默认装在第一块盘——/dev/sda / /dev/nvme0n1。
UEFI + Secure Boot 装机时会自动签 kernel（不需要 mokutil）。

Hydra 与 hping3：密码爆破与流量压测工具实战（含完整参数表）

Thu, 15 Jun 2017 00:00:00 +0800

⚠️ 法律与授权声明

本文介绍的 hydra（密码爆破）和 hping3（流量压测/DDoS 工具）只能用于：

自己拥有或明确授权测试的服务器
渗透测试授权书范围内的甲方系统
CTF 比赛或靶场（HackTheBox、DVWA、VulnHub 等）

未经授权对他人系统使用 = 违法。中国《刑法》第 285、286 条「非法侵入计算机信息系统罪」「破坏计算机信息系统罪」可判 3-7 年有期徒刑，DDos 攻击入罪门槛更低、量刑更重。

任何"我就是想测一下"的侥幸行为都不值得冒刑事风险。

背景

做攻防演练、应急排查、做靶场练习，经常需要：

测试自己服务器 SSH/FTP/RDP 密码强度（自测）
在压测环境模拟 SYN flood（自测）
验证 fail2ban / DDoS 防护是否真的能拦得住

两个工具都是行业标配：

thc-hydra：在线密码爆破之王，支持 50+ 协议
hping3：流量生成神器，支持 TCP/UDP/ICMP 任意包构造

一、thc-hydra 密码爆破

1.1 安装

源码编译（推荐，自定义模块）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16


# 依赖
apt install -y libssl-dev libssh-dev libidn11-dev libpcre3-dev \
 libgtk2.0-dev libmysqlclient-dev libpq-dev libsvn-dev \
 firebird-dev libmemcached-dev libgpg-error-dev libgcrypt11-dev libgcrypt20-dev

# 源码
wget https://github.com/vanhauser-thc/thc-hydra/archive/refs/tags/v9.5.tar.gz
tar -zxvf v9.5.tar.gz
cd thc-hydra-9.5
./configure
make
sudo make install
sudo make clean

# 验证
hydra -version

包管理器安装（apt）

1

apt install hydra

1.2 核心参数表

选项	含义	示例
`-l USER`	单用户名	`-l root`
`-p PASS`	单密码	`-p 123456`
`-C FILE`	`user:pass` 冒号分隔文件	`-C creds.txt`
`-L FILE`	用户名字典	`-L users.txt`
`-P FILE`	密码字典	`-P pass.txt`
`-M FILE`	目标 IP 列表	`-M targets.txt`
`-e ns`	试空密码 + 用户名当密码	`-e ns`
`-s PORT`	非默认端口	`-s 2222`
`-t N`	并发线程（默认 16）	`-t 4`
`-vV`	显示详细尝试	`-vV`
`-o FILE`	结果输出文件	`-o result.txt`
`-b json`	输出格式（text/jsonv1/json）	`-b json`
`-R`	恢复之前的会话	`-R`
`-I`	忽略恢复文件（不等待 10s）	`-I`
`-S`	SSL 连接	`-S`
`-f`	找到一对就停	`-f`
`-W N`	最大超时秒数（默认 30）	`-W 60`
`-q`	静默（不打印错误）	`-q`

1.3 实战：爆破 SSH

1
2
3
4
5
6
7
8


# 自测：3 线程 + 详细日志 + 用户名当密码 + 空密码
hydra -l root -P password.txt -t 3 -vV -e ns 192.168.1.100 ssh

# 自测：用户名字典 + 密码字典 + 多协议同时跑
hydra -L users.txt -P pass.txt -t 8 -f 192.168.1.100 ssh

# 自测：批量 IP + 输出 JSON
hydra -l admin -P pass.txt -t 16 -M targets.txt -b json -o result.json ssh

字典文件（password.txt）示例：

1
2
3
4
5
6


123456
admin
password
root
qwerty
1q2w3e4r

性能调优：

SSH 单机并发建议 ≤ 4（高了反而被 fail2ban 拦）
FTP/RDP 可以提到 16-32
加 -W 60 给老机器更宽的超时

1.4 50+ 支持协议

hydra -U 看每个模块的参数，常用：

1
2
3
4
5


adam6500 asterisk cisco cisco-enable cvs ftp ftps http[s]-{head|get|post} 
imap[s] irc ldap2[s] ldap3[-{cram|digest}md5][s] mongodb mssql mysql 
ncp nntp oracle{listener, sid} pcanywhere pcnfs pop3[s] postgres rdp 
redis rexec rlogin rsh rtsp s7-300 sap/r3 sip smb smtp[s] smtp-enum 
snmp socks5 ssh sshkey svn teamspeak telnet[s] vmauthd vnc xmpp

二、hping3 流量生成与压测

2.1 安装

1
2
3
4
5


# Ubuntu/Debian
apt install hping3

# CentOS
yum install hping3

2.2 核心功能

模式	命令示例	用途
TCP SYN 扫描	`hping3 -S -p 80 1.2.3.4`	端口扫描
TCP ACK 扫描	`hping3 -A -p 80 1.2.3.4`	防火墙规则探测
UDP 探测	`hping3 --udp -p 53 1.2.3.4`	DNS/NTP 等 UDP 服务
ICMP 洪水	`hping3 --icmp --flood 1.2.3.4`	ICMP 压测
SYN 洪水	`hping3 -S --flood --rand-source 1.2.3.4`	DoS 模拟（仅授权）
文件传输	`hping3 1.2.3.4 --listen --safe --icmp -d 100 -sign 1234 < file`	隐蔽传文件
Traceroute	`hping3 --traceroute -V -1 1.2.3.4`	自定义协议路由追踪

2.3 实战：SYN 洪水（自测用）

1

hping3 -c 100000 -d 120 -S -w 64 -p 22 --flood --rand-source 192.168.1.100

参数解释：

参数	含义
`-c 100000`	发送 10w 个包（不指定则无限）
`-d 120`	每个包 120 字节
`-S`	只发 SYN 包
`-w 64`	TCP 窗口大小
`-p 22`	目标端口
`--flood`	洪水模式（不显示回复）
`--rand-source`	源 IP 随机化（仅自测，对真实环境 = 犯罪**）
末尾 IP	目标 IP

5 分钟 DoS：

简而言之，如果这台机器是 Web 服务器，它就无法响应任何新的连接，就算它能响应，速度也很慢很慢。

2.4 压测实战：HTTP 服务器

1
2
3
4
5
6


# 普通 ping 风格压测
hping3 -S -p 80 -i u10000 192.168.1.100
# 每 10ms 发一个 SYN 到 80 端口

# 详细输出（带时间戳）
hping3 -S -p 80 --flood -V --rand-source 192.168.1.100

2.5 隐蔽传文件

接收端（先启动）：

1

hping3 192.168.1.200 --listen --safe --icmp -d 100 -sign 1234 > recv.bin

发送端：

1

hping3 192.168.1.100 --icmp -d 100 --sign 1234 --file /etc/passwd

⚠️ 这只是一个玩具示例，真实环境请用 scp/rsync。

三、与 fail2ban 联动

hydra/hping3 攻击的目标机器，应该配 fail2ban：

1
2
3
4
5
6
7
8
9


# /etc/fail2ban/jail.local
[sshd]
enabled = true
filter = sshd
logpath = %(sshd_log)s
findtime = 3m
maxretry = 3
bantime = 24h
action = iptables-allports[name=sshd]

hydra 默认 16 线程，3 分钟内失败 3 次 = ban 24 小时。

四、常见坑

4.1 hydra 编译失败

./configure 缺依赖：

1
2
3
4


# 一次性装齐
apt install -y libssl-dev libssh-dev libidn11-dev libpcre3-dev \
 libmysqlclient-dev libpq-dev libsvn-dev libmemcached-dev \
 libgpg-error-dev libgcrypt20-dev firebird-dev

4.2 hping3 –flood 攻击自己

永远不要在生产环境跑 --flood，永远不要对未授权 IP 跑 --rand-source。

4.3 hydra 找不到模块

./configure 输出末尾会列出 enabled modules，缺哪个装哪个 dev 包。

4.4 性能调优

协议	推荐 `-t`	备注
SSH	4	多了会触发 fail2ban 反而看不见结果
FTP	16	FTP 老协议，可以激进
HTTP-POST	8	注意 IP 频率
RDP	4	Windows 远程桌面限流严

五、卸载

1
2
3
4
5
6
7
8


# 源码安装
cd thc-hydra-9.5
sudo make uninstall
cd .. && rm -rf thc-hydra-9.5

# 包管理器安装
apt remove hydra hping3 -y
apt purge hydra hping3 -y

小结

工具	用途	风险等级
hydra	密码爆破（自测/授权）	高（被滥用于黑产）
hping3	包构造、压测、隐蔽通道	极高（DDos 入罪门槛低）

两个工具的最佳归宿：

放在隔离测试机里
配合 fail2ban / WAF 做自测验证
在专业攻防培训中使用

下一步：

用 medusa（hydra 替代品）做横向对比
用 ncrack 做更现代的 RDP 爆破
商业方案：Burp Suite Pro、Cobalt Strike

2024 视角：攻防工具"现代版" + 法律边界

2017 那篇列的工具在 2024 仍管用，但有 3 个新变化：法律更严、替代工具更多、容器化使用更广。

一、`hydra` 9.5 → 9.6+（2022-2024）

2024 最新版 hydra 9.6+（持续维护中）：
- 新模块：HTTP-Proxy、SOCKS5 认证、Kerberos
- 新选项：
  - -A：user-agent 随机化
  - -W N：单条连接超时
  - -f：找到一对就停
- JSON 输出格式（-b json）—— 适合 CI/ELK 收集
2024 装：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# GitHub 编译
git clone https://github.com/vanhauser-thc/thc-hydra.git
cd thc-hydra
./configure
make -j$(nproc)
sudo make install

# 或包管理器
apt install hydra -y
hydra -version
# Hydra v9.6 (c) 2024 by van Hauser/THC

二、`hping3` 的"接班人"：`nping`（nmap 套件）+ `scapy`（Python）

hping3 2018 年起已不再积极维护（作者 antirez 转向了 Redis），但仍能用。
2024 现代替代：

1
2
3
4
5
6
7
8
9


# nping（nmap 套件，更现代）
apt install nmap
nping --tcp -p 80,443 --rate 100 1.2.3.4
# SYN flood（自测）
nping --tcp --dest-port 80 --rate 1000 --count 100000 --flood 1.2.3.4

# scapy（Python 写任意包）
pip install scapy
python3 -c "from scapy.all import *; send(IP(dst='1.2.3.4')/TCP(dport=80, flags='S')/Raw(b'X'*100), count=100)"

scapy 是 2024 事实标准——任意协议包构造、嗅探、注入，比 hping3 灵活 100 倍。

三、`hping3 --flood` 攻击自己 + 法律风险

2024 法律加码：

中国《刑法》285/286 条（3-7 年有期徒刑）+ 2017《网络安全法》+ 2021《数据安全法》+ 2021《个人信息保护法》。

DDos 攻击特别入罪门槛低：2020 年司法解释，**“造成 1 万元损失"或"影响 1000 个用户”**即入罪。

2024 真实案例：某高校学生用 hping3 打同学服务器，判刑 1 年缓 1 年。

不要试探边界——--flood + --rand-source 永远只在自己买的测试机上跑。

四、压测的"现代"姿势

2017 那篇 hping3 --flood 模拟 SYN flood。2024 真实压测都用专业工具：

工具	用途
wrk（C 写）	HTTP/HTTPS 压测，单核 10 万 QPS
wrk2（wrk + 持续恒压）	恒压负载测试
k6（Go 写）	现代压测平台，支持 JS 脚本
Vegeta（Go 写）	简单命令行压测
Locust（Python 写）	分布式压测，Web 界面
JMeter（Java 写）	老牌 GUI 压测，2024 仍占企业市场 30%
Gatling（Scala 写）	DevOps 友好的现代压测

1
2
3
4
5


# wrk 4 核 100 并发跑 30 秒
wrk -t4 -c100 -d30s https://api.example.com

# k6 跑递增负载
k6 run --vus 100 --duration 30s script.js

五、`hydra` 的"现代替代"：Medusa / Ncrack / Patator

Medusa（与 hydra 同期的同类工具，速度更快）：

1

medusa -h 192.168.1.100 -u root -P password.txt -M ssh -t 4

Ncrack（Nmap 团队出品，对 RDP 优化好）：

1

ncrack -p 3389 -U users.txt -P password.txt 192.168.1.100

Patator（Python 写，模块化）：

1

patator ssh_login host=192.168.1.100 user=root password=FILE0 0=password.txt

六、容器化的渗透测试

2024 大量渗透测试平台把工具装在 Docker 里，避免污染系统：

1
2
3
4


# Kali 容器（2024 官方 docker）
docker run -it --rm kalilinux/kali-rolling /bin/bash
# 里面装工具
apt install hydra nmap ncrack

Kali Linux 2024.2 容器镜像已经预装 600+ 工具。
CN-Series（Coalfire）：合规导向的渗透测试发行版。

七、合法授权的"必要证据"

2017 那篇强调"必须授权"。2024 视角下授权证据要更细：

渗透测试授权书（RoE：Rules of Engagement）：
- 测试范围 IP 段
- 测试时间段
- 测试方法（白盒 / 黑盒 / 灰盒）
- 紧急联系人
- 签字盖章
2024 加码：渗透测试要留"事故应急联系"——一旦测试搞挂业务，能 5 分钟内联系到人恢复。
2024 法规：《网络安全法》要求关键信息基础设施的渗透测试必须事前报备（向公安网安部门）。

源文档：

os/linux/第三方tools/safe/hydra/hydra.md（hydra 9.0 编译、完整参数表、SSH/FTP 爆破示例）
os/linux/第三方tools/safe/hping3/hping3.md（hping3 SYN flood 实战）

Linux 远程登录与安全实践：SSH 公私钥、scp 免密、Wake-on-LAN 远程开机与网络配置

Wed, 15 Mar 2017 00:00:00 +0800

一、为什么是 2017 年这一份

2017 年这个时间点前后，Linux 远程管理进入"工具标准化"阶段：

OpenSSH 7.x（2016-2017 时代）已修复大量历史漏洞，sshd 默认配置趋于安全
Wake-on-LAN 仍是有线网卡机器远程开机的主流方案
Debian/Ubuntu 的网络配置正经历重构——Debian 9 (2017-06) 仍用 /etc/network/interfaces，但 Ubuntu 18.04 (2018-04) 起改用 netplan
systemd-resolved 在 Ubuntu 17.10 (2017-10) 起成为默认 DNS 解析

这一篇覆盖远程登录、远程拷贝、远程开机、网卡配置、DNS 配置——一个系统管理员日常要用的"远程"工具箱。

阅读建议：本文分四块——远程登录（SSH）、远程拷贝（SCP）、远程开机（WoL）、网络配置。强烈建议所有公开服务器禁止密码登录，只用密钥。

二、SSH 远程登录

2.1 sshpass：脚本里的免密登录

sshpass 允许在一条命令里把密码带上——典型场景是自动化脚本里临时用一下，生产环境请用 SSH 公私钥。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


# 安装（CentOS）
yum install -y sshpass

# 安装（Debian/Ubuntu）
apt install -y sshpass

# 免密 SSH 登录
sshpass -p 'your-password' ssh root@<host-ip>

# sshpass + ssh 不提示 yes/no
sshpass -p 'your-password' ssh \
 -o StrictHostKeyChecking=no user@<host-ip>

2.2 优化：去掉"是否连接"的提示

第一次 SSH 连接到新主机时，会问"是否信任该主机（yes/no）"。在自动化场景下这个交互很烦。两种解决方案：

客户端配置（影响本机的所有 SSH 客户端）：

1
2
3
4


vim /etc/ssh/ssh_config

# 加上这一行
StrictHostKeyChecking no

服务端配置（影响所有客户端连这台机器）：

1
2
3
4
5
6


vim /etc/ssh/sshd_config

GSSAPIAuthentication no
UseDNS no

service sshd restart

三、SSH 公私钥登录：生产环境标配

强烈推荐：所有公开服务器禁止密码登录，只用密钥。

3.1 生成密钥对

1
2
3
4
5
6


ssh-keygen -t rsa
# 默认 2048 位 RSA，公私钥存在 ~/.ssh/

# 当前目录下多出两个文件
# id_rsa ← 私钥（**绝不能泄露**）
# id_rsa.pub ← 公钥（要上传到服务器）

3.2 上传公钥到服务器

方法一：手动复制

1
2
3
4
5
6
7
8


# 假设你已经在服务器上
mkdir -p ~/.ssh
chmod 700 ~/.ssh
touch ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys

# 把本地公钥内容粘贴进去
cat id_rsa.pub >> ~/.ssh/authorized_keys

方法二：ssh-copy-id（如果装了）

1

ssh-copy-id -i ~/.ssh/id_rsa.pub user@<host-ip>

3.3 服务端配置

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17


vim /etc/ssh/sshd_config

# 启用 RSA 认证（默认是 yes）
RSAAuthentication yes
PubkeyAuthentication yes

# 指定公钥文件位置
AuthorizedKeysFile .ssh/authorized_keys

# 允许 root 登录（视业务）
PermitRootLogin yes

# **关键：禁用密码登录**
PasswordAuthentication no

# 重启 sshd
service sshd restart

顺序很重要：先确认至少有一个账号能用公钥登录了，再去禁密码。否则一旦失联，就只能接显示器登录。

3.4 多个公钥

1

cat other_id_rsa.pub >> ~/.ssh/authorized_keys

一行一个公钥，OpenSSH 按顺序匹配。

四、scp 远程拷贝

4.1 本地 → 远程

1
2
3
4
5
6
7
8


# 文件
scp /local/file.txt user@<host>:/remote/path/

# 目录（加 -r）
scp -r /local/dir user@<host>:/remote/path/

# 携带密码（自动化场景）
sshpass -p 'your-password' scp -r /local/dir user@<host>:/remote/path/

4.2 远程 → 本地

1
2
3
4
5
6
7
8


# 文件
scp user@<host>:/remote/file.txt /local/path/

# 目录
scp -r user@<host>:/remote/dir /local/path/

# 携带密码
sshpass -p 'your-password' scp user@<host>:/remote/file.txt /local/path/

4.3 常用选项

选项	含义
`-P port`	指定端口（大写 P，不是 `-p`）
`-q`	去掉进度显示
`-l limit`	限速（单位 Kbit/s）
`-C`	压缩传输
`-i keyfile`	指定私钥文件

更现代的替代：rsync 和 sftp 都已经基本替代 scp 在生产环境的位置。rsync 增量传输、sftp 支持断点续传，scp 适合"小文件、临时一次性"的场景。

五、Wake-on-LAN 远程开机

WoL（Wake-on-LAN）允许通过网络发一个"魔术包"，让关机状态下的机器开机。要求机器的有线网卡和主板都支持。

5.1 检查网卡是否支持 WoL

1
2
3
4


ethtool eno1
# 找到 "Supports Wake-on:" 和 "Wake-on:" 两行
# Supports Wake-on: pumbg
# Wake-on: d ← d = 禁用

字段值	含义
`p`	Wake on PHY activity
`u`	Wake on unicast messages
`m`	Wake on multicast messages
`b`	Wake on broadcast messages
`a`	Wake on ARP
`g`	Wake on MagicPacket（最常用）
`s`	Enable SecureOn password for MagicPacket
`d`	Disable（默认）

5.2 启用 WoL

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


# 立即启用（重启后失效）
ethtool -s eno1 wol g

# 永久启用：写进网卡配置
# CentOS/RHEL
echo "ETHTOOL_OPTS='-s eno1 wol g'" >> /etc/sysconfig/network-scripts/ifcfg-eno1

# Debian/Ubuntu
# 在 /etc/network/interfaces 里加
# up ethtool -s eno1 wol g

5.3 查网卡物理地址（MAC）

1
2


ip a
# link/ether 58:11:22:c3:1b:4d

5.4 安装并发送魔术包

1
2
3
4
5
6
7
8
9


# 安装 wakeonlan
apt install wakeonlan # Debian/Ubuntu
yum install wakeonlan # CentOS（需 EPEL）

# 在同一局域网内发送
wakeonlan 58:11:22:c3:1b:4d

# 指定目标 IP（跨网段需要中继）
wakeonlan -i 10.8.33.5 58:11:22:c3:1b:4d

5.5 BIOS 也要打开 WoL

掉电恢复来电后 WoL 经常失效——这是主板 BIOS 没开。

开机进 BIOS → Power Management Setup：

找 Wake On LAN → 设为 Enable
没有就找 Wake On PCI Card → 设为 Enable（注意：PCI 选项可能有两个，确保只开一个，否则循环重启）
找 PME Event Wake Up → 设为 Enabled

两种 WoL 模式的区别：

Wake On LAN —— 完全关机也能唤醒
Wake On PCI Card —— 深度休眠（hibernate）才能唤醒

5.6 远程关机

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16


# 立即关机
shutdown now
# 或
shutdown --poweroff now

# 取消关机
shutdown -c

# 预关机（带警告）
shutdown --poweroff

# 深度睡眠
pm-hibernate

# 重启
shutdown --reboot

六、Debian / Ubuntu 网络配置

6.1 Debian 9/10：`/etc/network/interfaces`

1
2
3
4
5
6


# 重启网络
/etc/init.d/networking restart
systemctl restart networking

# 网卡配置
vim /etc/network/interfaces

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18


# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
source /etc/network/interfaces.d/*

# 环回口
auto lo
iface lo inet loopback

# DHCP 自动获取
auto eth0
iface eth0 inet dhcp

# 静态 IP
auto eth0
iface eth0 inet static
address 192.168.1.122
netmask 255.255.255.0
gateway 192.168.1.2

6.2 查看 DNS

1
2
3
4
5
6
7


# 临时配置
cat /etc/resolv.conf
# nameserver 8.8.8.8
# nameserver 114.114.114.114

# 永久配置
sudo apt install resolvconf

6.3 Ubuntu 18.04+：`netplan`

Ubuntu 18.04 起改用 netplan（YAML 格式）：

1
2


# 配置
vim /etc/netplan/00-installer-config.yaml

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18


network:
 ethernets:
 eno1:
 dhcp4: false
 addresses:
 - 192.168.10.127/24
 routes:
 - to: default
 via: 192.168.10.1
 nameservers:
 addresses: [211.138.24.66, 114.114.114.114, 192.168.10.1]
 eno2:
 dhcp4: true
 eno3:
 dhcp4: true
 eno4:
 dhcp4: true
 version: 2

1
2


# 应用配置
netplan apply

从 interfaces 迁移到 netplan：2017-2018 是过渡期，老教程仍是 interfaces，新机器按 netplan 走。

6.4 DNS：`systemd-resolved`

Ubuntu 17.10 起默认启用 systemd-resolved。

1
2
3
4
5
6
7
8


vim /etc/systemd/resolved.conf

[Resolve]
# 几个公开 DNS（示例）
#DNS=1.1.1.1 8.8.8.8
DNS=114.114.114.114

systemctl restart systemd-resolved

/etc/resolv.conf 经常被覆盖：/etc/resolv.conf 实际上是软链接到 /run/systemd/resolve/stub-resolv.conf，手动改 /etc/resolv.conf 重启后会失效。正确做法是改 /etc/systemd/resolved.conf。

七、Debian 静态 IP 实际案例

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22


# 1. 查当前 IP
ip a
# 或
ifconfig

# 2. 备份原配置
cp /etc/network/interfaces /etc/network/interfaces.bak

# 3. 改成静态
cat > /etc/network/interfaces << "EOF"
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 192.168.1.122
netmask 255.255.255.0
gateway 192.168.1.2
EOF

# 4. 重启
systemctl restart networking

八、前置知识 / 下一步

想了解 SSH 高级用法（端口转发、代理）→ 翻独立文章
想了解 fail2ban 防爆破 → 翻本系列《Linux 用户管理与安全加固》
想了解 Wake-on-LAN 跨网段（需要路由器支持）→ 翻独立文章
想了解 rsync 增量同步替代 scp → 翻独立文章
想了解 ufw 防火墙配置 → 翻本系列《Ubuntu 发行版实战》

九、参考资源

OpenSSH 官方文档：https://www.openssh.com/manual.html
Ubuntu Netplan 文档：https://netplan.io/
Debian 网络配置 wiki：https://wiki.debian.org/NetworkConfiguration
Wake-on-LAN 原理（Wikipedia）：https://en.wikipedia.org/wiki/Wake-on-LAN
ethtool 手册：man ethtool

2024 视角：7 年后远程管理的"新王"和"新坑"

2017 那篇的 SSH 公私钥、scp、Wake-on-LAN 在 2024 仍管用——但有 3 个新趋势必须知道：

一、ed25519 全面替代 RSA 2048

2017 那篇示范 ssh-keygen -t rsa（默认 2048 位）。2024 实际项目里 ed25519 已经是事实标准：

算法	密钥长度	性能	抗量子	兼容性
RSA 2048	2048 位	慢（签名/验签 1-3ms）	弱（量子 Shor 算法秒破）	全平台
RSA 4096	4096 位	极慢（10-30ms）	较弱	全平台
ed25519	256 位	极快（< 0.1ms）	中（仍是椭圆曲线）	OpenSSH 6.5+（2014）
ECDSA P-256	256 位	快	中	OpenSSH 5.7+（2008）
ML-DSA（Dilithium）	1312 字节	慢	强（抗量子）	OpenSSH 9.x 实验中

2024 默认推荐：

1
2
3
4
5
6


# ed25519
ssh-keygen -t ed25519 -C "lwd@<your-host>"

# 加 passphrase（用 ssh-agent / GNOME Keyring 记）
ssh-keygen -t ed25519 -a 100 -C "lwd@<your-host>"
# -a 100 = 100 轮 KDF，增强私钥文件抗爆破

二、SSH 配置的"现代化"补充

Include /etc/ssh/sshd_config.d/*.conf：2024 推荐——把配置拆到 /etc/ssh/sshd_config.d/ 目录，sshd 8.0+ 已支持。
KDF rounds on private key：私钥 KDF 迭代次数（-a 参数）。
Include ~/.ssh/config.d/*.conf：客户端也可以 Include 拆分。
GSSAPI / DNS 关闭默认已 ok。
Include 路径匹配：

1
2
3
4
5
6
7
8
9


# 客户端 ~/.ssh/config
Include config.d/*.conf

# /etc/ssh/sshd_config.d/00-hardening.conf
PasswordAuthentication no
PermitRootLogin prohibit-password
MaxAuthTries 3
X11Forwarding no
AllowAgentForwarding no

三、scp 全面弃用，改用 sftp / rsync

OpenSSH 9.0（2022-04）开始打印 WARNING: scp is deprecated。
sftp（基于 SSH 的 FTP）支持断点续传、目录浏览：

1
2
3
4
5


# 上传
sftp user@host <<< 'put -r /local/dir /remote/path'

# 下载
sftp user@host <<< 'get -r /remote/path /local/'

rsync（增量同步）做"两台机器同步"：

1
2
3
4
5


rsync -avz --progress /local/dir/ user@host:/remote/dir/
# -a 归档模式
# -v 详细
# -z 传输时压缩
# --progress 显示进度

四、Wake-on-LAN 在云时代的"替代方案"

2017 那篇 WoL 在家用 / 局域网场景仍管用。
但 2024 云服务器根本没 WoL 概念——开机通过云厂商 API。
远程开机的现代姿势：
- AWS：Lambda + CloudWatch Events + EC2 API
- 阿里云：函数计算 + 定时触发器 + ECS StartInstance
- 小米插座 / 智能插线板：远程给机器上电（家里老台式机）

1
2
3
4
5
6
7
8


# 阿里云 SDK 远程开机
from aliyunsdkcore.client import AcsClient
from aliyunsdkecs.request.v20140526 import StartInstanceRequest

client = AcsClient('<access-key-id>', '<access-key-secret>', 'cn-hangzhou')
request = StartInstanceRequest.StartInstanceRequest()
request.set_InstanceIds(['i-bp1xxxxxxxxxxxxxx'])
client.do_action_with_exception(request)

五、WireGuard 替代 SSH 隧道 + frp

2017 那篇没提 SSH 端口转发 -L / -R。2024 的"点对点 VPN"首选是 WireGuard：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15


# 装
apt install wireguard

# 生成密钥
wg genkey | tee /etc/wireguard/privatekey | wg pubkey > /etc/wireguard/publickey

# 配置 /etc/wireguard/wg0.conf
[Interface]
Address = 10.0.0.1/24
PrivateKey = <server-private-key>
ListenPort = 51820

[Peer]
PublicKey = <client-public-key>
AllowedIPs = 10.0.0.2/32

优势：内核态实现（性能是 OpenVPN 4 倍）、配置极简（单文件）、roaming 友好（IP 变化不重连）。
SSH 隧道还在用：但主要是"临时单端口转发"，长期组网全部走 WireGuard / Tailscale / ZeroTier。

六、网络配置：NetworkManager 已成"事实上默认"

2017 那篇给的 /etc/network/interfaces 写法，在 Debian 12+（2023-06）已经被 NetworkManager 取代：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 看现有连接
nmcli connection show

# 改 IP
nmcli connection modify "Wired connection 1" \
 ipv4.addresses 192.168.1.100/24 \
 ipv4.gateway 192.168.1.1 \
 ipv4.dns "1.1.1.1,8.8.8.8" \
 ipv4.method manual

nmcli connection up "Wired connection 1"

Ubuntu 22.04+ / Debian 12+：服务器版仍可装 ifupdown 用 interfaces，但新项目默认 NetworkManager。
nmcli / nmtui 比手写 YAML 更易维护。

七、Tailscale / ZeroTier 终结"内网穿透"

2017 那篇 SSH 远程登录到"内网"用 frp（2017 那篇还没提 frp，那篇主要是 SSH）。2024 趋势：
- Tailscale（基于 WireGuard，5 分钟建全球组网）—— 个人免费 100 台设备
- ZeroTier（P2P + 控制器）—— 同样免费 25 台
- Cloudflare Tunnel（云原生时代）—— cloudflared 一行命令把内网服务暴露公网

1
2
3
4


# Tailscale（2024 年最易上手）
curl -fsSL https://tailscale.com/install.sh | sh
tailscale up
# 自动获得 100.x.x.x 虚拟 IP，全网互通

WSL2 完整使用手册：从安装到 Kali Linux 渗透工作流

Sun, 15 Jan 2017 00:00:00 +0800

为什么选 WSL2

WSL2（Windows Subsystem for Linux v2）2019-06 GA，相比 WSL1：

完整 Linux 内核（4.19+），systemd、Docker、systemd-resolved 全部支持
文件 IO 性能比 WSL1 快 5~20 倍
完整 syscall 兼容（ptrace、cgroups、namespace 全部原生）

对于开发者：“Windows 当 IDE，WSL2 当 Linux 后端"是 2020 年后最主流的工作流。

前置环境

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17


# 1. 启用 WSL 子系统
dism.exe /online /enable-feature /featurename:Microsoft-Windows-Subsystem-Linux /all /norestart

# 2. 启用虚拟机平台
dism.exe /online /enable-feature /featurename:VirtualMachinePlatform /all /norestart

# 3. 安装内核更新（一次性）
# 下载：https://wslstorestorage.blob.core.windows.net/wslblob/wsl_update_x64.msi

# 4. 设为默认 v2
wsl --set-default-version 2

# 5. 查看状态
wsl --status

# 6. 列出可安装的发行版
wsl -l -o

安装 Kali Linux

方式一：Microsoft Store 一键装

Store 搜索 “Kali Linux” 直接装，最省事。

方式二：手动装（适合内网 / 离线环境）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15


# 1. 下载镜像
# 链接：https://kali-linux.en.uptodown.com/windows/download
# 得到：kali-linux-pc-2025-4-0-0.appxbundle

# 2. 改后缀为 zip 后解压
Rename-Item .\kali-linux-pc-2025-4-0-0.appxbundle kali-linux-pc-2025-4-0-0.zip
Expand-Archive .\kali-linux-pc-2025-4-0-0.zip

# 3. 解压 DistroLauncher-Appx_2025.4.0.0_x64.appx
cd kali-linux-pc-2025-4-0-0
Rename-Item DistroLauncher-Appx_2025.4.0.0_x64.appx appx.zip
Expand-Archive .\appx.zip -DestinationPath D:\soft\sys\kali-linux

# 4. 双击执行里面的 kali.exe
# 提示设置用户名 + 密码（用户名建议 root，密码自定义）

启用 root 账号

1
2
3
4
5
6
7
8
9


# 启用 root 并设密码
sudo passwd root

# PowerShell 中设为默认用户
# 安装目录 D:\soft\sys\kali-linux
.\kali.exe config --default-user root

# 进系统，默认 root
wsl

升级到完整版

1
2
3
4
5


apt update
apt upgrade

# 可选：装完整工具集（3GB+）
apt install kali-linux-everything

网络模式：mirrored

WSL2 默认 NAT 模式有几个坑：

端口转发配置复杂
宿主机访问 WSL2 服务需 localhost:port
IPv6 不通

mirrored 模式（WSL 2.0+ GA）让 WSL2 共享宿主机网络栈，IP 一样：

1
2
3
4
5
6


# C:\Users\<USER>\.wslconfig
[wsl2]
networkingMode=mirrored
dnsTunneling=true
firewall=true
autoProxy=true

1
2


# 重启生效
wsl --shutdown

验证：

1
2
3
4
5
6


ip addr show eth1
# inet 10.8.33.26/24 ...
# mtu 1500

# 注意：mirrored 模式下 MTU 必须和宿主机的代理 tun 模式一致
# 如果 WSL 网络表现异常，先看 mtu

SSH 服务

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


sudo systemctl start ssh
sudo systemctl enable ssh
sudo systemctl status ssh

# 编辑配置（启用公钥认证）
sudo nvim /etc/ssh/sshd_config
PubkeyAuthentication yes
sudo systemctl restart ssh

# 把本机公钥推过去
cat /path/to/id_rsa.pub >> ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys

Zsh + Oh My Zsh

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20


# 切换 zsh
echo $SHELL
chsh -s /bin/zsh

# PowerShell 下停止 wsl
wsl -t kali-linux
wsl

# 安装 Oh My Zsh
sh -c "$(curl -fsSL https://raw.githubusercontent.com/ohmyzsh/ohmyzsh/master/tools/install.sh)"

# Powerlevel10k 主题
git clone --depth=1 https://github.com/romkatv/powerlevel10k.git \
 ${ZSH_CUSTOM:-$HOME/.oh-my-zsh/custom}/themes/powerlevel10k

# 改 ~/.zshrc
nvim ~/.zshrc
ZSH_THEME="powerlevel10k/powerlevel10k"
source ~/.zshrc
p10k configure

字体：Meslo Nerd Font

1
2
3
4
5
6
7
8


wget https://github.com/ryanoasis/nerd-fonts/releases/latest/download/Meslo.zip
mkdir -p ~/.local/share/fonts
unzip Meslo.zip -d ~/.local/share/fonts/Meslo/
fc-cache -fv

# VSCode 配置
# ~/.config/Code/user/settings.json
"terminal.integrated.fontFamily": "JetBrainsMono Nerd Font"

五笔输入法

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


sudo apt-get install fcitx5 fcitx5-chinese-addons \
 fcitx5-frontend-gtk2 fcitx5-frontend-gtk3 fcitx5-frontend-qt5 \
 kde-config-fcitx5

# 写入 ~/.zshrc
export GTK_IM_MODULE=fcitx
export QT_IM_MODULE=fcitx
export XMODIFIERS="@im=fcitx"

fcitx5 -d
fcitx5-config-qt

卸载

1
2
3
4
5
6
7


# 查看已安装的
wsl -l -v
# NAME STATE VERSION
# * kali-linux Running 2

# 卸载
wsl --unregister kali-linux

WSL2 与 Docker 集成

mirrored 模式下 WSL2 内的 Docker daemon 可以监听宿主机的 2375 端口。docker-desktop 用的是 WSL2 后端，但 WSL2 内的 docker.io 是独立的 daemon——可以同时存在。

性能优化清单

项目	命令	作用
swap 限制	`.wslconfig` 加 `swap=8GB`	防止 WSL 吃满宿主机内存
内存限制	`memory=4GB`	限制 WSL 最大内存
处理器数	`processors=4`	限制 WSL CPU 核数
启动项	`sparseVhd=true`	自动压缩 vhdx 节省磁盘

1
2
3
4
5
6
7
8


# C:\Users\<USER>\.wslconfig
[wsl2]
memory=4GB
processors=4
swap=8GB
swapFile=D:\\wsl-swap.vhdx
sparseVhd=true
localhostForwarding=true

下一步

想把 WSL2 当主力开发环境（Java/Maven），看 2018-04-15《WSL 远程开发环境搭建》
想在 WSL2 里搞全栈开发（pnpm + turbo + Vite），看 2020-04-15《FSS 全栈脚手架》

参考资料

Microsoft WSL 文档：https://learn.microsoft.com/en-us/windows/wsl/
WSL2 mirrored 模式说明：https://learn.microsoft.com/en-us/windows/wsl/networking
Kali Linux for WSL：https://www.kali.org/docs/wsl/
Oh My Zsh：https://github.com/ohmyzsh/ohmyzsh

HAProxy + Keepalived 高可用实战：Nginx 主备双机 + VIP 漂移

Thu, 15 Dec 2016 00:00:00 +0800

背景

单点故障是生产环境的头号杀手——一台 Nginx 挂了，整个网站就 502。

HA（High Availability） = 多台机器 + 故障自动切换，业内有两大经典方案：

方案	代表	适用
LVS + Keepalived	章文嵩博士	四层负载、性能极致
HAProxy + Keepalived	Willy Tarreau	四/七层、配置友好、社区活跃
Nginx + Keepalived	1.x / plus	七层、配置最简单

本篇方案：Nginx + Keepalived + HAProxy（可选用），经典"主备双机 + VIP 漂移"。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


[客户端] ──> [VIP: 192.168.50.130]
 │ 
 │ ARP 通告 / VRRP 协议
 │
 ┌───────┴───────┐
 │ │
 [主节点 Master] [备节点 Backup]
 Keepalived Keepalived
 Nginx :80 Nginx :80 (standby)
 priority=100 priority=90
 │
 └─> [后端真实服务器池] (tomcat / gunicorn / ...)

故障切换流程：

主节点 Keepalived 心跳正常 → VIP 留在主节点
主节点 Nginx 挂了 → nginx_check.sh 检测失败
Keepalived 把自己的 priority 减 20
备节点 priority 100 > 主节点 80 → VIP 漂移到备节点
备节点 Nginx 接管服务（前提：备节点 Nginx 配置和数据一致）

一、HAProxy vs Nginx vs LVS

1.1 三者对比

维度	LVS	HAProxy	Nginx
工作层	四层（IP）	四/七层	七层（HTTP）
性能	⭐⭐⭐⭐⭐	⭐⭐⭐⭐	⭐⭐⭐
功能	仅转发	丰富（健康检查、会话保持、统计）	反代、缓存、限流
配置复杂度	复杂（需要 ipvsadm）	中等	简单
社区	中国主导	法国/欧洲主导	俄罗斯主导
HA 角色	DR 模式性能最强	七层更智能	最简单

选型建议：

追求性能（十万 QPS 以上）：LVS
追求灵活（健康检查细、会话保持复杂）：HAProxy
追求简单（七层反代、HTTP 处理）：Nginx

1.2 为什么本篇选 Nginx + Keepalived

Nginx 已经是"事实标准"的反代，用 Nginx 做 HA 比 HAProxy 更省机器（HAProxy 当主、备各一台 + Nginx 后端，又多两层）。Keepalived 提供 VIP 漂移，简单可靠。

如果业务量大（单 VIP 扛不住 5w+ QPS），应该做"LVS DR + 多 Nginx"或"HAProxy + 多 Nginx"，不要在单 Nginx 上死磕。

二、安装

2.1 Keepalived 2.2.x

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


# Ubuntu
apt show keepalived
sudo apt install keepalived -y

# CentOS
yum install keepalived -y

# 验证
keepalived -v
# Keepalived v2.2.4 (08/21,2021)

systemd 管理：

1
2
3


systemctl enable keepalived
systemctl start keepalived
systemctl status keepalived

2.2 HAProxy 2.4.x（可选）

如果需要 HAProxy 做四层负载 + Nginx 后端：

1
2
3
4
5
6
7


# Ubuntu
apt show haproxy
sudo apt install haproxy -y

# 验证
haproxy -v
# HAProxy version 2.4.22-0ubuntu0.22.04.2 2023/08/14

systemd 管理：

1
2
3


systemctl enable haproxy
systemctl start haproxy
systemctl status haproxy

卸载：

1

sudo apt purge haproxy -y

三、HAProxy 配置（可选）

配置文件：/etc/haproxy/haproxy.cfg

3.1 最小可用配置

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34


global
 log /dev/log local0
 log /dev/log local1 notice
 chroot /var/lib/haproxy
 stats socket /run/haproxy/admin.sock mode 660 level admin expose-fd listeners
 stats timeout 30s
 user haproxy
 group haproxy
 daemon

 # Default SSL material locations
 ca-base /etc/ssl/certs
 crt-base /etc/ssl/private

 # Mozilla Intermediate
 ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
 ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
 ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets

defaults
 log global
 mode http
 option httplog
 option dontlognull
 timeout connect 5000
 timeout client 50000
 timeout server 50000
 errorfile 400 /etc/haproxy/errors/400.http
 errorfile 403 /etc/haproxy/errors/403.http
 errorfile 408 /etc/haproxy/errors/408.http
 errorfile 500 /etc/haproxy/errors/500.http
 errorfile 502 /etc/haproxy/errors/502.http
 errorfile 503 /etc/haproxy/errors/503.http
 errorfile 504 /etc/haproxy/errors/504.http

3.2 反代后端

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18


# Web 负载
frontend http-in
 bind *:80
 default_backend web-pool

backend web-pool
 balance roundrobin
 option httpchk GET /
 server web1 10.0.1.10:8080 check
 server web2 10.0.1.11:8080 check
 server web3 10.0.1.12:8080 check

# 统计页面
listen stats
 bind *:9000
 stats enable
 stats uri /stats
 stats auth admin:yourpassword

热加载（不中断）：

1
2


haproxy -c -f /etc/haproxy/haproxy.cfg # 验证
systemctl reload haproxy # 重新加载

四、Keepalived 配置（Nginx 主备）

4.1 关键概念

概念	含义
VRRP	Virtual Router Redundancy Protocol，虚拟路由冗余协议
VIP	Virtual IP，对外服务的 IP（飘在主节点网卡上）
priority	优先级（0-254），主高备低
nopreempt	不抢占模式（备升主后，原主恢复不再抢回）
advert_int	VRRP 通告间隔（秒），默认 1
virtual_router_id	VRRP 实例 ID（同组必须相同）
authentication	简单密码认证（防止误抢）
unicast_src_ip / unicast_peer	单播模式（云环境默认，组播被禁用）

4.2 主节点（Master）/etc/keepalived/keepalived.conf

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42


! Configuration File for keepalived
global_defs {
 # 标识本节点的字符串，通常为 hostname
 # hostnamectl set-hostname nginx-master1 设置
 router_id nginx-master1
}

# Nginx 健康检查脚本
vrrp_script chk_nginx {
 script "/etc/keepalived/nginx_check.sh"
 interval 2 # 每 2 秒检查一次
 weight -20 # 失败一次 priority -20
 fall 3 # 连续失败 3 次才算挂
 rise 2 # 连续成功 2 次才恢复
}

# 虚拟路由实例
vrrp_instance VI_1 {
 state MASTER # 主节点
 interface eth0 # 绑 VIP 的网卡（云主机可能是 eth1 / ens5）
 virtual_router_id 51 # 虚拟路由 ID（0-255），同组必须一致
 mcast_src_ip 192.168.50.133 # 本机真实 IP
 priority 100 # 主节点优先级（0-254）
 nopreempt # 不抢占（备升主后，原主恢复不再抢）
 advert_int 1 # 通告间隔 1 秒

 # 认证（两边必须一致）
 authentication {
 auth_type PASS
 auth_pass 1111
 }

 # 健康检查
 track_script {
 chk_nginx
 }

 # 虚拟 IP（对外服务的 IP）
 virtual_ipaddress {
 192.168.50.130/24 dev eth0
 }
}

4.3 备节点（Backup）/etc/keepalived/keepalived.conf

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35


! Configuration File for keepalived
global_defs {
 router_id nginx-backup1
}

vrrp_script chk_nginx {
 script "/etc/keepalived/nginx_check.sh"
 interval 2
 weight -20
 fall 3
 rise 2
}

vrrp_instance VI_1 {
 state BACKUP # 备节点
 interface eth0
 virtual_router_id 51 # 必须与主一致
 mcast_src_ip 192.168.50.134 # 备机真实 IP
 priority 90 # 备节点优先级（< 主）
 nopreempt
 advert_int 1

 authentication {
 auth_type PASS
 auth_pass 1111
 }

 track_script {
 chk_nginx
 }

 virtual_ipaddress {
 192.168.50.130/24 dev eth0
 }
}

4.4 健康检查脚本 /etc/keepalived/nginx_check.sh

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15


#!/bin/bash
# 检测 Nginx 是否存活，不存活就停止 keepalived，触发 VIP 漂移

A=$(ps -C nginx --no-heading | wc -l)
if [ "${A}" -eq 0 ]; then
 # 尝试启动 nginx
 systemctl start nginx
 sleep 2
 # 再查一次
 A=$(ps -C nginx --no-heading | wc -l)
 if [ "${A}" -eq 0 ]; then
 # 启动失败，停掉 keepalived，VIP 漂移到备
 systemctl stop keepalived
 fi
fi

权限与运行：

1

chmod +x /etc/keepalived/nginx_check.sh

4.5 启动

1
2


systemctl enable --now keepalived
systemctl status keepalived

查看 VIP 状态（主节点应有 VIP，备节点没有）：

1
2
3


ip addr show eth0
# 主节点：inet 192.168.50.130/24 ...（VIP 在）
# 备节点：没有 192.168.50.130

查看 VRRP 状态：

1
2
3


tail -f /var/log/syslog | grep -i vrrp
# VRRP_Instance(VI_1) Transition to MASTER STATE
# VRRP_Instance(VI_1) Entering MASTER STATE

五、故障切换演练

5.1 模拟主节点 Nginx 挂掉

1
2
3
4
5


# 在主节点
systemctl stop nginx
# 等 6 秒（fall=3 × interval=2）
# Keepalived 检测到 nginx 挂了，stop keepalived
# VIP 漂移到备节点

观察：

1
2
3
4
5
6
7


# 主节点
ip addr show eth0
# VIP 消失

# 备节点
ip addr show eth0
# VIP 出现 192.168.50.130

客户端视角：从浏览器访问 http://192.168.50.130，整个过程大概 6-10 秒有 502 错误，然后恢复。

5.2 主节点恢复（nopreempt 模式）

1
2
3
4


# 在原主节点
systemctl start nginx
# 启动 nginx，但 keepalived 还没启动
# 此时备节点继续服务（因为 nopreempt）

nopreempt 的意义：

不用 nopreempt → 原主恢复后会"抢回" VIP，两次切换造成额外中断
用 nopreempt → 原主恢复后保持 BACKUP，VIP 留在备，只在下次主挂时才回切

生产建议：用 nopreempt。避免"来回切换"的抖动。

5.3 强制回切（如果需要）

临时：手动在备节点 systemctl stop keepalived，VIP 漂回主。

永久：用 preempt_delay（Keepalived 1.3+）：

1
2
3
4
5
6


vrrp_instance VI_1 {
 state BACKUP
 priority 90
 preempt_delay 300 # 备升主后，5 分钟内原主恢复不回切
 ...
}

六、单播模式（云环境必看）

传统 VRRP 用组播（224.0.0.18），但云主机（阿里云、AWS、华为云）通常禁止组播。必须改单播：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17


vrrp_instance VI_1 {
 state MASTER
 interface eth0
 virtual_router_id 51

 # 关闭组播
 # mcast_src_ip 192.168.50.133 ← 注释掉

 # 开启单播
 unicast_src_ip 192.168.50.133 # 本机真实 IP
 unicast_peer {
 192.168.50.134 # 对端真实 IP
 }

 priority 100
 ...
}

两个节点都要配（主备互换 unicast_src_ip 和 unicast_peer）。

七、Nginx + Keepalived 完整架构

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17


 [客户端]
 │
 ↓
 [VIP 192.168.50.130]
 │
 ┌───────────────────────┴───────────────────────┐
 │ │ │
 [主 Nginx] [备 Nginx] [后端集群]
 10.0.1.10 10.0.1.11 10.0.1.20-30
 Keepalived MASTER Keepalived BACKUP Tomcat/...
 priority 100 priority 90
 │ │
 nginx -t / reload nginx -t / reload
 │ │
 /etc/nginx/conf.d/ /etc/nginx/conf.d/ ← rsync 同步
 ↓ ↓
 [共享后端 pool]

主备配置一致（用 rsync/ansible 同步）：

1
2
3


# 在主节点
rsync -avz /etc/nginx/ 10.0.1.11:/etc/nginx/
rsync -avz /var/www/ 10.0.1.11:/var/www/

自动化：用 lsyncd（inotify + rsync）实时同步，或用 etcd/consul 配置中心。

八、Keepalived 邮件告警（可选）

Keepalived 自带邮件提醒，需要 sendmail/postfix：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15


global_defs {
 notification_email {
 admin@example.com
 }
 notification_email_from keepalived@example.com
 smtp_server 127.0.0.1
 smtp_connect_timeout 30
 router_id nginx-master1
}

vrrp_instance VI_1 {
 state MASTER
 smtp_alert # 启用邮件告警
 ...
}

建议用第三方监控代替（Zabbix/Prometheus），邮件告警延迟高、易被忽略。

九、常见问题

9.1 VIP 不漂移

症状：主 nginx 挂了，备节点 VIP 一直不来。

排查：

1
2
3
4
5
6
7


# 看 keepalived 日志
journalctl -u keepalived -f
# 或
tail -f /var/log/syslog | grep -i keepalived

# 看 VRRP 通信
tcpdump -i eth0 vrrp

常见原因：

virtual_router_id 不一致
auth_pass 不一致
防火墙没放 VRRP 协议（云环境）：
1

iptables -I INPUT -p vrrp -j ACCEPT
组播在云环境被禁用 → 改 unicast

9.2 脑裂（split-brain）

症状：主备同时持有 VIP，客户端有时连到主有时连到备。

原因：

主备之间通信中断（如防火墙、心跳网络故障）
两边都以为对方挂了

对策：

双心跳线：两条物理/逻辑链路
iptables 阻断：主检测到脑裂时自己 iptables drop VRRP 报文，主动让出 VIP
云环境：用云厂商的 HAVIP（高可用虚拟 IP）+ API 切换

9.3 VIP 配置后 ping 不通

1
2
3
4
5
6
7
8


# 看 VIP 是不是在网卡上
ip addr show eth0

# 看本地能否 ping 通
ping 192.168.50.130

# 看路由
ip route get 192.168.50.130

云环境特殊：AWS/阿里云 HAVIP 需要显式启用 ARP 响应。

9.4 keepalived 启动失败

1
2
3


# 详细日志
keepalived -D -f /etc/keepalived/keepalived.conf
# 看具体错误

十、卸载

1
2
3
4
5
6
7


systemctl stop keepalived
systemctl disable keepalived
apt remove keepalived -y
rm -rf /etc/keepalived

# 清理 VIP
ip addr del 192.168.50.130/24 dev eth0

小结

HAProxy + Keepalived 是"主备双机 + VIP 漂移"的经典方案：

Keepalived 提供 VIP 漂移（VRRP 协议）
Nginx 健康检查脚本触发 failover
nopreempt 模式避免来回切换
云环境用 unicast（组播被禁用）
主备配置必须一致（rsync/ansible 同步）

生产部署三原则：

必须双心跳线（防止脑裂）
必须 rsync 配置（主备一致）
必须 nopreempt（避免抖动）

替代方案：

云原生：ALB/NLB + 多 AZ
K8s：Service + Ingress Controller
更激进：双活（active-active），两边同时服务

下一步：

上 K8s，用 K8s Service + Ingress 替代 VIP
用 Pacemaker + Corosync 做更复杂的 HA 集群
商业方案：F5 BIG-IP、Citrix ADC

2024 视角：Keepalived 在云原生时代"角色变化"

2016 那篇是基于"自己买物理机 / 私有云"的 HA 方案。2024 视角下，Keepalived 角色已经变化——在云上变成"边缘 / 混合云"工具，K8s / 微服务已经走另一套方案。

一、Keepalived 2.2 → 2.3（2024 现状）

2024 主流版本：Keepalived 2.2.7+（2023-12 起进入 2.3 系列开发）。
新特性：
- vrrp_unicast_peer 增强：单播模式支持多 peer
- vrrp_startup_delay：开机延迟（避免启动时误切换）
- vrrp_priority_increment：动态调整 priority
- Python bindings（实验性）：动态控制 keepalived

1
2
3
4


# 2024 装
apt install keepalived
keepalived -v
# Keepalived v2.2.7 (10/18,2023)

二、云上的"VIP 漂移"由云厂商接管

2016 那篇自建 VIP 在云上经常失效（云厂商禁止组播 / 不允许私设 IP）。
2024 云上 VIP 漂移由云厂商原生提供：
- AWS：Secondary IP + ENI（高可用虚拟 IP）
- 阿里云：HAVIP（高可用虚拟 IP）+ API
- Azure：Load Balancer + Floating IP
- 华为云：HA VIP（2023 起提供）

1
2
3
4
5


# AWS CLI 把 Secondary IP 漂到备机
aws ec2 assign-private-ip-addresses \
 --network-interface-id eni-xxx \
 --private-ip-addresses 10.0.1.100 \
 --allow-reassignment

结论：云上不需要 Keepalived——直接用云厂商的 HA 方案。
Keepalived 仍有价值的场景：
- 私有数据中心（自建机房）
- 边缘节点（IoT / 工厂）
- 混合云（部分在云、部分本地）

三、K8s 时代的"VIP 替代"

2016 那篇 HA 思路是"VIP 漂移到备机"。
K8s 时代：Service + Endpoints + kube-proxy 自动做"虚拟 IP 漂移"：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


# K8s Service（自动实现 VIP 漂移）
apiVersion: v1
kind: Service
metadata:
 name: nginx-ha
spec:
 selector:
 app: nginx
 ports:
 - port: 80
 targetPort: 80
 type: ClusterIP
# K8s 自动分配 VIP（如 10.96.100.50）
# kube-proxy iptables / ipvs 自动 load balance

优势：无需 Keepalived、K8s 自动处理故障切换、漂移时间 < 1 秒。

四、HAProxy 2.4 → 3.0+ 的变化

HAProxy 3.0（2024-04 发布 LTS）：
- HTTP/3（QUIC） 完整支持
- Runtime API 增强（动态改配置）
- Threads 模型（多线程 LB）
- 新的 nbthread / thread-group 指令

1
2
3
4


# HAProxy 3.0 启用多线程
global
 nbthread 4
 cpu-map auto:1-4 0-3

2024 HAProxy 仍是四/七层 LB 主流，但 Envoy / APISIX 正在分食市场。

五、Envoy / APISIX 的"现代 VIP 替代"

Envoy（CNCF毕业项目，2024 仍是云原生服务网格标准代理）：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20


# Envoy Listener（替代 VIP）
static_resources:
 listeners:
 - name: main
 address:
 socket_address:
 address: 0.0.0.0
 port_value: 80
 filter_chains:
 - filters:
 - name: envoy.filters.network.http_connection_manager
 config:
 stat_prefix: ingress_http
 route_config:
 virtual_hosts:
 - name: backend
 domains: ["*"]
 routes:
 - match: { prefix: "/" }
 route: { cluster: backend_cluster }

APISIX（国产 Apache 项目，2024 大量企业用）：
- 动态路由（不重启热更）
- 多协议（HTTP/gRPC/WebSocket/MQTT）
- 内置 Dashboard（可视化配置）

六、`keepalived + HAProxy` 的"现代双活"写法

2016 那篇给的是主备（一主一备）。
2024 趋势：双活（两边同时服务）—— Keepalived 可以实现：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


# 主节点 keepalived.conf
vrrp_instance VI_1 {
 state BACKUP
 interface eth0
 virtual_router_id 51
 priority 100
 nopreempt
 
 # 两边都启用 nginx
 notify_master "/etc/keepalived/scripts/start_local_lb.sh"
 notify_backup "/etc/keepalived/scripts/keep_local_lb.sh"
}

两边都跑 nginx / HAProxy，但通过 DNS 智能解析 + 全局负载均衡分配流量。

七、Keepalived 的"健康检查"增强

2016 那篇给的 nginx_check.sh 是"脚本检测 nginx 进程"。
2024 现代写法：用 vrrp_track + vrrp_script + HTTP 检查：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


vrrp_script chk_nginx {
 script "curl -sf http://127.0.0.1/health || exit 1"
 interval 2
 weight -20
 fall 3
 rise 2
 timeout 5
}

vrrp_script chk_disk {
 script "df -h / | awk 'NR==2 {print $5}' | grep -E '^[8-9][0-9]%' && exit 1"
 interval 30
 weight -10
}

track_script 多个 script 同时跟踪。

八、IPv6 VIP

2024 趋势：IPv6 的 VIP 部署：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


vrrp_instance VI_1 {
 state MASTER
 interface eth0
 virtual_router_id 51
 priority 100
 
 virtual_ipaddress {
 192.168.50.130/24 dev eth0
 2001:db8::130/64 dev eth0
 }
}

IPv6 默认不依赖 ARP / 组播——使用 NDP（Neighbor Discovery Protocol）。

源文档：os/linux/第三方tools/dev/高可用/高可用.md（HAProxy/Keepalived 安装、主备配置、nginx_check.sh）

Linux 办公与开发工具链：钉钉/飞书/Navicat/Zsh/sdkman/Go/Rust/Docker

Fri, 15 Jul 2016 00:00:00 +0800

办公三件套

钉钉：fix_dingtalk.sh 修 GNU_STACK RWE 坑

钉钉 8.x 系列的 .deb 包在 Kali / Debian 上的常见问题是：可执行文件带 GNU_STACK RWE（可执行栈），触发安全告警。fix_dingtalk.sh 用 patchelf 把 RWE 改成 RW：

1
2
3
4
5
6
7
8
9


sudo dpkg -i com.alibabainc.dingtalk_8.1.0.6021101_amd64.deb
sudo bash ~/Downloads/fix_dingtalk.sh

# 修复前：
# GNU_STACK 0x0000000000000000 0x0000000000000000 ... RWE 0x10
# 已修复: 0x7 (RWE) -> 0x6 (RW)

# 修复后：
# GNU_STACK 0x0000000000000000 0x0000000000000000 ... RW 0x10

飞书

1
2


sudo dpkg -i ./Feishu-linux_x64-7.62.9.deb
sudo apt --fix-broken install # 依赖缺失时修复

Navicat 17 Premium

Navicat Premium 17 改成了 AppImage，免安装：

1
2
3
4
5
6
7
8


# make it executable
chmod +x navicat17-premium-en-x86_64.AppImage
# run
./navicat17-premium-en-x86_64.AppImage

# 试用重置：删除配置 + dconf
rm -rf ~/.config/navicat
rm -rf ~/.config/dconf/user

永久试用脚本 /etc/init.d/navicat.trial.sh：开机自动重置 dconf，免去手动删除。

1

sudo chmod +x /etc/init.d/navicat.trial.sh

终端：Zsh + Oh My Zsh + Powerlevel10k

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


# 1. 查看当前 shell
echo $SHELL
/bin/bash

# 2. 切换为 zsh
chsh -s /bin/zsh

# 3. 退出 WSL 后再进
exit
wsl -t kali-linux
wsl

# 4. 安装 Oh My Zsh
sh -c "$(curl -fsSL https://raw.githubusercontent.com/ohmyzsh/ohmyzsh/master/tools/install.sh)"

主题：Powerlevel10k

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


# 1. 克隆主题
git clone --depth=1 https://github.com/romkatv/powerlevel10k.git \
 ${ZSH_CUSTOM:-$HOME/.oh-my-zsh/custom}/themes/powerlevel10k

# 2. 修改 ~/.zshrc
nvim ~/.zshrc
# ZSH_THEME="robbyrussell" 改成
ZSH_THEME="powerlevel10k/powerlevel10k"
source ~/.zshrc

# 3. 重新配置（按终端提示走）
p10k configure

插件：自动补全 + 语法高亮

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17


# 自动提示历史记录
git clone https://github.com/zsh-users/zsh-autosuggestions \
 ${ZSH_CUSTOM:-~/.oh-my-zsh/custom}/plugins/zsh-autosuggestions

# 语法高亮
git clone https://github.com/zsh-users/zsh-syntax-highlighting.git \
 ${ZSH_CUSTOM:-~/.oh-my-zsh/custom}/plugins/zsh-syntax-highlighting

# 写入 ~/.zshrc
nvim ~/.zshrc
# plugins=(git) 改成
plugins=(
 git
 zsh-autosuggestions
 zsh-syntax-highlighting
)
source ~/.zshrc

字体：Meslo Nerd Font

Powerlevel10k 的图标需要 Nerd Font：

1
2
3
4
5
6
7
8
9


# 下载 Meslo Nerd Font
wget https://github.com/ryanoasis/nerd-fonts/releases/latest/download/Meslo.zip
mkdir -p ~/.local/share/fonts
unzip Meslo.zip -d ~/.local/share/fonts/Meslo/
fc-cache -fv

# VSCode / Code 设置字体
# ~/.config/Code/user/settings.json
"terminal.integrated.fontFamily": "JetBrainsMono Nerd Font"

开发工具链

sdkman：JDK + Maven 多版本管理

sdkman 是 JVM 生态的版本管理工具，可以同时装 Java 8 / 11 / 17 / 21 并秒切：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28


# 1. 安装
apt install zip unzip -y
curl -s "https://get.sdkman.io" | bash
source ~/.sdkman/bin/sdkman-init.sh
sdk version

# 2. 卸载 Debian 默认 JDK
dpkg --list | grep -i jdk
sudo apt purge openjdk-*-jdk openjdk-*-jre
sudo apt autoremove --purge

# 3. 清理 update-alternatives 软链接
sudo update-alternatives --get-selections | grep java
sudo update-alternatives --remove-all jexec
sudo update-alternatives --remove-all jpackage
sudo update-alternatives --remove-all keytool
sudo update-alternatives --remove-all rmiregistry

# 4. 安装 JDK
sdk list java # 查可用版本
sdk install java 21.0.10-librca
sdk install java 8.0.482-librca

# 5. 切换
sdk use java 21.0.10-librca
sdk default java 21.0.10-librca # 全局默认
sdk current java
java -version

Maven

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


sdk list maven
sdk install maven 3.9.14

# PATH 写入
cat << 'EOF' >> ~/.zshrc
export PATH="$HOME/.sdkman/candidates/maven/current/bin:$PATH"
EOF

source ~/.zshrc
mvn -v

# 复用配置
cp /path/to/maven/settings.xml \
 ~/.sdkman/candidates/maven/current/conf/settings.xml

Go 1.x

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17


cd /usr/local
sudo wget https://go.dev/dl/go1.26.3.linux-amd64.tar.gz
sudo rm -rf /usr/local/go && \
 sudo tar -C /usr/local -xzf go1.26.3.linux-amd64.tar.gz
sudo rm -rf go1.26.3.linux-amd64.tar.gz

cat << 'EOF' >> ~/.zshrc
export PATH=$PATH:/usr/local/go/bin
EOF

source ~/.zshrc
go version

# 1. 开启 Go Modules
go env -w GO111MODULE=on
# 2. 设置 GOPROXY 代理（goproxy.cn 国内友好）
go env -w GOPROXY=https://goproxy.cn,direct

Rust

1
2
3
4
5
6
7
8
9


curl --proto '=https' --tlsv1.2 -sSf https://sh.rustup.rs | sh
. "$HOME/.cargo/env"

rustc --version
rustup --version
cargo --version

# 卸载
rustup self uninstall

Lua

1
2


sudo apt install lua5.4 -y
lua -v

Docker

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22


sudo apt install -y docker.io

# 配置 daemon.json
sudo tee /etc/docker/daemon.json << "EOF"
{
 "exec-opts": ["native.cgroupdriver=systemd"],
 "log-driver": "json-file",
 "log-opts": { "max-size": "50m", "max-file": "1" }
}
EOF

# 服务配置
sudo systemctl daemon-reload
sudo systemctl enable docker
sudo systemctl restart docker
sudo docker info
sudo docker ps

# 添加组（docker 命令不用 sudo）
sudo groupadd docker
sudo usermod -aG docker $USER
newgrp docker

IDE 工具

Cursor

1

sudo dpkg -i ./cursor_3.3.30_amd64.deb

IntelliJ IDEA 2026.1

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13


sudo tar -zxvf idea*.tar.gz -C /opt
/opt/idea-IU-261.23567.138

cd /opt/idea*/bin
./idea.sh

# 写入 PATH
cat << 'EOF' >> ~/.zshrc
export IDEA_HOME=/opt/idea-IU-261.23567.138
export PATH=:$PATH:${IDEA_HOME}/bin
EOF

source ~/.zshrc

wsl-screenshot-cli：截图同步给 AI

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16


# wsl 内安装到 /root/go/bin/wsl-screenshot-cli
go install github.com/nailuu/wsl-screenshot-cli@latest

# 写入 zshrc
cat << "EOF" >> ~/.zshrc
export PATH=$PATH:$(go env GOPATH)/bin
wsl-screenshot-cli start --daemon --quiet
EOF

source ~/.zshrc

# 启动 / 状态 / 停止 / 更新
wsl-screenshot-cli start --daemon
wsl-screenshot-cli status
wsl-screenshot-cli stop
wsl-screenshot-cli update

配合 Claude Code 钩子，截图后自动可用：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18


{
 "hooks": {
 "SessionStart": [{
 "matcher": "",
 "hooks": [{
 "type": "command",
 "command": "wsl-screenshot-cli start --daemon --quiet 2>/dev/null; echo 'wsl-screenshot-cli started'"
 }]
 }],
 "SessionEnd": [{
 "matcher": "",
 "hooks": [{
 "type": "command",
 "command": "wsl-screenshot-cli stop 2>/dev/null"
 }]
 }]
 }
}

下一步

想要更丝滑的 WSL2 体验，看 2017-01-15《WSL2 完整使用手册》
想了解 Windows 同等工具链，看 2017-11-15《Windows 终端与 Shell 工具链》

参考资料

Oh My Zsh：https://github.com/ohmyzsh/ohmyzsh
Powerlevel10k：https://github.com/romkatv/powerlevel10k
sdkman：https://sdkman.io
zsh-autosuggestions：https://github.com/zsh-users/zsh-autosuggestions
wsl-screenshot-cli：https://github.com/Nailuu/wsl-screenshot-cli

2024+ 视角：JetBrains 工具链 2026 + AI 集成 + Wayland 适配

JetBrains IntelliJ IDEA 2026.1（2025 GA）

AI Assistant 2.0：JetBrains 自研 AI + 第三方模型（Claude / GPT-4o / Gemini）切换
K2 模式 GA：Kotlin 编译器 K2 模式正式 GA，启动快 30%、分析快 50%
Wayland 原生支持：Linux IDEA 现在直接走 Wayland 协议，无 XWayland 延迟
AI Inline Edit：选中代码 → 直接描述修改意图 → 原地重写
Junie（AI Agent）：JetBrains 的 AI 工程师代理，类似 Devin 但更聚焦 IDE 内任务

1
2
3
4
5
6
7


# 2024+ 安装方式（推荐 Toolbox App）
# https://www.jetbrains.com/toolbox-app/
# 或 JetBrains Gateway（远程开发 + AI）

# 终端启动 IDEA 2026
idea # 启动
idea --help # 命令行参数

Cursor 2024+ 现状

Cursor 0.45+（2024）：VS Code 完整 fork，AI 深度集成
Composer 模式：多文件同时编辑，AI 理解整个代码库
@symbols / @files：自然语言引用代码上下文

1
2
3
4
5


# Cursor 3.x 安装（Linux）
sudo dpkg -i ./cursor_3.3.30_amd64.deb
# 或 AppImage
chmod +x cursor-3.3.30.AppImage
./cursor-3.3.30.AppImage

Oh My Zsh → Starship 2024+

Starship（Rust 写的）已超越 Powerlevel10k 成为 2024+ 主流：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


# 装 starship
curl -sS https://starship.rs/install.sh | sh

# ~/.zshrc 添加
eval "$(starship init zsh)"

# ~/.config/starship.toml（配置）
[character]
success_symbol = "[➜](bold green)"
error_symbol = "[✗](bold red)"

Starship 优势：

快：Rust 写的，启动 < 10ms
跨 shell：zsh / bash / fish / nushell 同一配置
模块化：每个 prompt 段都是独立 module
无需 Nerd Font（但用更漂亮）

Neovim 0.10+（2024+ 主流编辑器）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


-- ~/.config/nvim/init.lua（Lua 配置）
vim.g.mapleader = " "

-- LSP + Treesitter + 补全
vim.opt.runtimepath:append("/usr/share/nvim/lazy")
require("lazy").setup({
 "neovim/nvim-lspconfig",
 "nvim-tree/nvim-web-devicons",
 "hrsh7th/nvim-cmp", -- 补全
 "nvim-treesitter/nvim-treesitter",
})

Neovim 优势：

Lua 配置（vs vimscript 老旧语法）
LSP 原生支持
Treesitter 语法高亮 + 代码理解
启动 < 50ms（vs VSCode 数秒）

开发工具链 2024+ 现状

工具	2024+ 推荐
IDE	JetBrains 2026.1 / Cursor 3.x / VS Code + 插件
终端	Ghostty（Wayland）/ Kitty / Alacritty
Shell	zsh + Starship + Atuin（历史同步）
多任务	tmux 3.4+（前缀 Ctrl-Space 习惯）
文件搜索	ripgrep + fzf 0.50+
Git UI	lazygit / tig
JSON/YAML	fx / jq + yq
HTTP 调试	httpie 3.x / curl / bruno
数据库	Beekeeper Studio / DBeaver / TablePlus
API 测试	Bruno / Hoppscotch / Postman 2024+
进程管理	lazydocker / lazygit

钉钉 / 飞书 2024+ 现状

钉钉 8.x 修复 GNU_STACK RWE 仍是问题（2024+ 仍需 fix_dingtalk.sh）
飞书 Linux 7.x：原生 Wayland 支持
企业微信 Linux 4.x：Wine 兼容层，性能差
Slack 4.x（Linux）：原生 Wayland

1
2
3


# 2024+ 修复钉钉 GNU_STACK（更现代的 patchelf 方案）
sudo apt install patchelf
sudo patchelf --clear-execstack /opt/apps/com.alibabainc.dingtalk/files/dingtalk

Navicat 2024+ 替代品

Navicat 17 Premium 仍是付费首选
DBeaver 24+（社区版免费）—— 2024+ 强烈推荐
Beekeeper Studio（2024）—— 现代 UI，开源
TablePlus（macOS / Windows 强）
DataGrip（JetBrains 出品）—— 与 IntelliJ 协同最好

1
2
3
4


# DBeaver 安装（2024+）
sudo dpkg -i dbeaver-ce_24.0.0_amd64.deb
# 或 flatpak
flatpak install flathub io.dbeaver.DBeaverCommunity

钉钉 / 飞书 / 企微 2024+ 替代品

工具	Linux 原生	2024+ 状态
钉钉 8.x	仍需 patchelf 修 RWE	必需
飞书 7.x	Wayland 兼容	推荐
企业微信 4.x	Wine	勉强
Slack 4.x	Wayland 原生	出海首选
Discord	浏览器 / 桌面	海外

Go 1.26.3（2025）安装补充

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 2024+ 推荐用 go.dev 官方二进制
wget https://go.dev/dl/go1.26.3.linux-amd64.tar.gz
sudo rm -rf /usr/local/go
sudo tar -C /usr/local -xzf go1.26.3.linux-amd64.tar.gz

# PATH
export PATH=$PATH:/usr/local/go/bin

# 工具链
go install golang.org/x/tools/gopls@latest
go install github.com/go-delve/delve/cmd/dlv@latest

Rust 1.84+（2025）安装补充

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13


# 2024+ Rust 1.84+ 新特性
# - const 泛型更完善
# - 错误处理改进
# - 异步 trait 稳定

# 装 rustup（推荐）
curl --proto '=https' --tlsv1.2 -sSf https://sh.rustup.rs | sh

# 装 ripgrep / fd / bat（rust 生态的 GNU 替代）
cargo install ripgrep fd-find bat eza zoxide

# 用 rust 写的 fd 替代 find
fd "*.lua" --type f

2024+ 国产 Linux 工具链

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20


# 1. 飞书 Linux（推荐）
sudo dpkg -i Feishu-linux_x64-7.62.9.deb

# 2. wsl-screenshot-cli（截图同步给 AI）
go install github.com/nailuu/wsl-screenshot-cli@latest
wsl-screenshot-cli start --daemon

# 3. WSL2 GUI 加速（2024+ 用 WSLg）
# Windows 11 默认启用 WSLg
# 启动 WSLg 转发
wsl --update

# 4. 中文输入法
sudo apt install fcitx5 fcitx5-chinese-addons

# 5. 国产 Linux 发行版
# - openEuler 24.03 LTS（华为）
# - openCloudOS 9（腾讯）
# - UOS 1021（统信）
# - Kylin V10 SP3（银河麒麟）

2024+ 推荐组合

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18


现代 Linux 后端开发（2024+）
├── 发行版：Ubuntu 24.04 LTS / Fedora 40 / Arch
├── 终端：Ghostty / Kitty
├── Shell：zsh + Starship + Atuin
├── 编辑器：JetBrains 2026.1 / Cursor 3.x / Neovim 0.10+
├── 多任务：tmux 3.4+ + fzf
├── 搜索：ripgrep + fd + fzf
├── 版本控制：lazygit + gh
├── JDK 管理：sdkman 0.6+（多版本）
├── Go：1.24+ + gopls + dlv
├── Rust：rustup + cargo
├── Node：fnm（替代 nvm，快 10 倍）
├── Python：pyenv + uv（替代 pip）
├── Docker：docker + lazydocker
├── 通讯：飞书 Linux / Slack
├── 数据库：DBeaver 24+（替代 Navicat）
├── API 调试：Bruno / httpie
└── 截图 AI：wsl-screenshot-cli

CentOS 7 全面实战：阿里源、Docker、Harbor 与 Nginx+Let's Encrypt

Tue, 15 Sep 2015 00:00:00 +0800

一、为什么 2015 年要写这份"一站式"

2015 年的 CentOS 7 服务器基本就是"yum 源 + Docker + Web 服务"三件套。本篇把三个场景串成一篇深度文——从国内 yum 源选择、装 Docker CE、起 Harbor 私有仓库，到 Docker 化部署 Nginx + 申请 Let’s Encrypt 免费证书并自动续期。每个环节的坑都标出来了。

本文写于 2015-09-15。Let’s Encrypt 2015-09-14 进入公开 beta，2016-04 正式 GA，本文示例贴近 Let’s Encrypt 早期生态。CentOS 7 已 2024-06-30 进入 ELS 阶段，新机器建议直接 Rocky / Alma 9。

二、国内 yum 源选择

CentOS 7 装好后第一件事就是换源——官方源国内外都慢，国内服务器一定要换。常见选择：

源	特点
阿里云 `mirrors.aliyun.com/repo/Centos-7.repo`	同步快、稳定、企业用得多
网易 163 `mirrors.163.com/.help/CentOS7-Base-163.repo`	老牌、文档多
中科大 USTC	高校机房友好
清华 TUNA	高校机房友好

阿里云（企业最常见）：

1
2
3
4


mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.bak
curl -o /etc/yum.repos.d/CentOS-Base.repo https://mirrors.aliyun.com/repo/Centos-7.repo
yum clean all && yum makecache
yum update

装 EPEL 源（很多 Python 包靠它）：

1

yum install -y epel-release

三、Docker CE 安装

3.1 卸载旧版

1
2
3
4
5
6
7
8


sudo yum remove docker \
 docker-client \
 docker-client-latest \
 docker-common \
 docker-latest \
 docker-latest-logrotate \
 docker-logrotate \
 docker-engine

注意：/var/lib/docker 目录（镜像、容器、卷、网络）默认不会删，重装后数据还在。

3.2 走官方 yum 源

1
2
3


sudo yum install -y yum-utils device-mapper-persistent-data lvm2
sudo yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
sudo yum install docker-ce

想装指定老版本：

1
2


yum list docker-ce --showduplicates | sort -r
sudo yum install docker-ce-18.09.1

3.3 走 get.docker.com 一键脚本

2015-2017 社区更常用：

1
2
3


curl -sSL https://get.docker.com/ | sh
systemctl start docker
systemctl enable docker

3.4 加 docker 用户组

1
2


sudo usermod -aG docker <your-user>
# 重新登录生效

3.5 验证

1

sudo docker run hello-world

四、配置阿里云 Docker 镜像加速

DockerHub 拉镜像国内极慢，必须配镜像加速器。2015-2016 年用得最多的是 daocloud.io：

1
2
3
4
5
6
7
8
9


mkdir -p /etc/docker
tee /etc/docker/daemon.json <<-'EOF'
{
 "registry-mirrors": ["http://f1361db2.m.daocloud.io"],
 "insecure-registries": []
}
EOF
systemctl daemon-reload
systemctl restart docker

多镜像源写法（2020+ 推荐）：

1
2
3
4
5
6
7


{
 "registry-mirrors": [
 "https://mirror.ccs.tencentyun.com",
 "https://docker.mirrors.ustc.edu.cn"
 ],
 "insecure-registries": ["<your-private-registry>:5000"]
}

验证是否生效：

1
2


ps -ef | grep docker
# 命令行里看到 --registry-mirror=... 就对了

五、装 docker-compose

5.1 早期：pip 装（2015-2017）

1
2


yum install -y python-pip
pip install docker-compose

5.2 中期：二进制直装

1
2
3
4


curl -L "https://github.com/docker/compose/releases/download/1.25.0/docker-compose-$(uname -s)-$(uname -m)" \
 -o /usr/local/bin/docker-compose
chmod +x /usr/local/bin/docker-compose
docker-compose version

5.3 2020+：Docker CLI plugin

1
2
3
4
5
6


# Compose v2
mkdir -p ~/.docker/cli-plugins
curl -SL https://github.com/docker/compose/releases/download/v2.23.3/docker-compose-linux-x86_64 \
 -o ~/.docker/cli-plugins/docker-compose
chmod +x ~/.docker/cli-plugins/docker-compose
docker compose version

六、Harbor 私有仓库

Harbor 是 VMware 开源的镜像仓库（2016-03 第一个 release），到 2017-2018 年成为国内事实标准。2017-2019 期间安装用 离线包最稳：

6.1 下载离线安装包

1
2
3


wget https://github.com/vmware/harbor/releases/download/v1.9.1/harbor-offline-installer-v1.9.1.tgz
tar -xvf harbor-offline-installer-v1.9.1.tgz
cd harbor

6.2 改配置

1
2
3
4
5
6


vim harbor.yml

hostname: <your-registry-ip-or-domain> # 例: 192.168.6.128
http:
 port: 28083
harbor_admin_password: <your-admin-pass>

6.3 装 + 启

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16


./install.sh

# 启停
docker-compose stop
docker-compose start

# 改完配置要重生效
docker-compose down -v
vim harbor.yml
./prepare
docker-compose up -d

# 推镜像
docker login <your-registry-ip>:28083
docker tag alpine <your-registry-ip>:28083/dev/alpine:3.10.3
docker push <your-registry-ip>:28083/dev/alpine:3.10.3

6.4 默认凭据

admin 账号：admin / Harbor12345（生产环境一定要改）
db_auth PostgreSQL root：root123（同上）

七、Docker 容器日志切割

不切日志，/var/lib/docker/containers/ 下的 *-json.log 可以把磁盘塞满：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


# /etc/docker/daemon.json
{
 "log-driver": "json-file",
 "log-opts": {
 "max-size": "500m",
 "max-file": "3"
 }
}
systemctl daemon-reload
systemctl restart docker

坑提醒：只对新建容器生效，老容器需要 docker rm 后重建。

清空单个容器日志：

1

truncate -s 0 /var/lib/docker/containers/<container-id>/*-json.log

八、Nginx + Let’s Encrypt 免费证书

Let’s Encrypt 2015-09-14 公开 beta、2016-04 正式 GA，把免费 HTTPS 证书从"程序员折腾"变成了"运维 5 分钟"。证书有效期 90 天，必须用 certbot renew 自动续期。

8.1 安装 certbot

1
2


yum install -y epel-release
yum install -y certbot

8.2 申请证书（webroot 方式）

要求域名已经解析到本机：

1
2
3
4
5


certbot certonly --webroot \
 -w /var/www/html \
 -d mydemo.com \
 -m <your-email> \
 --agree-tos

成功后证书在：

1
2
3
4
5


/etc/letsencrypt/live/mydemo.com/
├── cert.pem # 用户证书
├── chain.pem # 中间证书
├── fullchain.pem # cert + chain
└── privkey.pem # 私钥

8.3 查有效期

1
2
3


openssl x509 -noout -dates -in /etc/letsencrypt/live/mydemo.com/cert.pem
# notBefore=...
# notAfter=...

8.4 配合 Docker Nginx

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


# docker-compose.yml
services:
 nginx:
 image: nginx
 container_name: nginx
 ports:
 - "80:80"
 - "443:443"
 volumes:
 - /var/www/html:/usr/share/nginx/html:ro
 - /webser/etc/nginx:/etc/nginx/conf.d
 - /webser/logs/nginx:/var/log/nginx
 - /etc/ssl:/etc/ssl
 - /etc/letsencrypt:/etc/letsencrypt

8.5 Nginx 配置

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21


server {
 listen 443 ssl http2;
 server_name mydemo.com;

 ssl_certificate /etc/letsencrypt/live/mydemo.com/fullchain.pem;
 ssl_certificate_key /etc/letsencrypt/live/mydemo.com/privkey.pem;

 ssl_session_timeout 1d;
 ssl_session_cache shared:SSL:50m;
 ssl_session_tickets on;

 # 前向保密（PFS）参数
 ssl_dhparam /etc/ssl/private/dhparam.pem;

 ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
 ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:...:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK';
 ssl_prefer_server_ciphers on;

 root /usr/share/nginx/html;
 index index.html;
}

dhparam.pem 生成（一次性，2-3 分钟）：

1
2


mkdir -p /etc/ssl/private
openssl dhparam 2048 -out /etc/ssl/private/dhparam.pem

8.6 自动续期 crontab

1
2
3
4


crontab -e

# 每月 1 号 05:00 续期 + 重启 nginx
00 05 01 * * /usr/bin/certbot renew --quiet && docker restart nginx

坑提醒：续期时网站必须能访问到 /.well-known/acme-challenge/——也就是说 HTTP 80 端口必须能从公网访问到 webroot。

九、Docker 存储路径搬家

/var/lib/docker 默认在根盘，根盘很容易塞满：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15


systemctl stop docker
mkdir -p /home/docker

vim /usr/lib/systemd/system/docker.service
# ExecStart=/usr/bin/dockerd \
# --graph=/home/docker \ # Docker 17.05+ 推荐 data-root
# -H fd:// \
# --containerd=/run/containerd/containerd.sock

systemctl disable docker
systemctl enable docker
systemctl daemon-reload
systemctl start docker
docker info | grep "Docker Root Dir"
# Docker Root Dir: /home/docker

17.05+ 推荐用 data-root 而不是 --graph，后者已 deprecated。

十、磁盘空间排查速查

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 全局
df -h

# 各目录占用
du -sh /*

# 当前目录前 10 大
du -hd 1 | sort -hr | head

# 删除 7 天前的文件
find ./ -mtime +7 | xargs rm -rf

生产环境慎用 rm -rf / 这类命令——本文示例中所有路径都加了具体子目录，是基本的安全习惯。

十一、典型坑速查

现象	原因	处理
`docker run` 报 “Cannot connect to the Docker daemon”	daemon 没启 / 装完没 reload	`systemctl daemon-reload && systemctl restart docker`
拉镜像超慢	没配镜像加速	改 `/etc/docker/daemon.json` 的 `registry-mirrors`
`docker-compose` 命令找不到	只装了 docker，没装 compose	走 §5 装 compose
容器日志把磁盘塞满	没切日志大小	改 `daemon.json` 的 `log-opts`
Let’s Encrypt 续期失败	80 端口被占 / 域名解析不到	`certbot renew --dry-run` 模拟一次排查
Harbor 装完访问 502	端口冲突 / yml 改完没 `prepare`	改完 yml 必跑 `./prepare`

十二、下一步

想把 Harbor 升级到 v2.x → 见 Harbor 升级文档，先备份 /data/database 再升级
想换 SSL 自动化方案（acme.sh / Caddy） → 见 2017-09-15 CentOS 7 开发环境
想上 Kubernetes → 走 kubeadm，先关 swap（见 2012-12-15 CentOS 7 早期实践）
不想自己维护 Harbor → 换 Docker Hub Pro / 阿里云 ACR / 腾讯云 TCR

参考资料

2024 视角：Docker 24+ / 25+ / 26+ 已经"云原生一体化"

2015 那篇是 Docker 1.7~1.12 时代。2024 视角下 Docker 已经 26+（2024-04），加上 containerd / BuildKit / compose v2 已经"完全成熟"。

一、Docker 24 → 26+（2024 主流）

Docker 24.0（2023-05）：引入 Docker Scout（镜像漏洞扫描）、Docker Debug。
Docker 25.0（2024-01）：Compose v2 全面替代 Compose v1（v1 已废弃）。
Docker 26.0（2024-04）：BuildKit 默认启用、WebAssembly 支持。
Docker 27.0（2024-06）：Testcontainers 集成、容器测试能力。

1
2
3
4


docker --version
# Docker version 26.1.4, build 5650f9b
docker compose version
# Docker Compose version v2.27.0

二、containerd 替代 dockerd 的趋势

2024 大量 K8s 集群已经直接用 containerd（不再用 Docker）：
- containerd 1.7+（2023-04）：K8s CRI 兼容
- nerdctl：containerd 的 Docker-like CLI
- ctr（containerd 原生 CLI）

1
2


# 用 nerdctl 跑容器（语法跟 docker 一样）
nerdctl run -d --name nginx -p 80:80 nginx:1.25

2024 趋势：K8s 节点不要装 Docker，直接装 containerd——少 30% 资源占用。

三、BuildKit 时代

BuildKit（Docker 18.09+ 实验 → 26+ 默认）大幅提升 docker build 速度：
- 并行构建（多 stage 一起）
- 缓存复用（跨 build 共享层缓存）
- mount 语法（--mount=type=cache）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


# BuildKit 语法（2024 推荐）
# syntax=docker/dockerfile:1
FROM golang:1.22 AS builder
WORKDIR /app
COPY . .
RUN --mount=type=cache,target=/root/.cache/go \
 go build -o /out/app

FROM alpine
COPY --from=builder /out/app /app

四、Harbor v2.x 已成事实标准

2015 那篇是 Harbor v1.9 时代。2024 主流：

Harbor 2.10+（2024）：支持 OCI 标准、镜像签名（cosign）、P2P 镜像分发（kraken）。
Harbor 2.11+（2024-05）：AI 模型管理（ML Model Registry）—— LLM 镜像 / 权重文件直接托管。

1
2
3
4
5
6


# 2024 装 Harbor 2.10
wget https://github.com/goharbor/harbor/releases/download/v2.10.0/harbor-offline-installer-v2.10.0.tgz
tar xvf harbor-offline-installer-v2.10.0.tgz
cd harbor
cp harbor.yml.tmpl harbor.yml
./install.sh

五、Let’s Encrypt 的"现代"姿势

2015 那篇是 certbot + crontab。2024 主流：

acme.sh：单脚本，80+ DNS 厂商支持，更轻量：

1
2
3
4
5
6
7
8


curl https://get.acme.sh | sh
export Ali_Key="xxx"
export Ali_Secret="yyy"
acme.sh --issue -d example.com --dns dns_ali
acme.sh --install-cert -d example.com \
 --key-file /etc/nginx/ssl/example.com.key \
 --fullchain-file /etc/nginx/ssl/example.com.crt \
 --reloadcmd "systemctl reload nginx"

lego（Go 写）：另一个 ACME 客户端，比 certbot 快。
Caddy：内置 ACME——配置即用：

1
2
3
4


example.com {
 reverse_proxy localhost:3000
}
# 自动 HTTPS + 自动续期

六、阿里云 Docker 镜像加速 2024 现状

2015 那篇的 daocloud.io 已经 2020 起停止免费服务。

2024 推荐：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


{
 "registry-mirrors": [
 "https://docker.m.daocloud.io", # DaoCloud 现仍可
 "https://mirror.baidubce.com", # 百度云
 "https://hub-mirror.c.163.com", # 网易
 "https://docker.mirrors.ustc.edu.cn", # 中科大
 "https://docker.nju.edu.cn", # 南京大学
 "https://docker.mirrors.sjtug.sjtu.edu.cn" # 上交大
 ]
}

2024 国内云厂商镜像（更稳定）：
- 阿里云：<regionId>.mirror.aliyuncs.com（每个 region 独立）
- 腾讯云：mirror.ccs.tencentyun.com
- 华为云：swr.cn-north-4.myhuaweicloud.com

七、`docker-compose` → `docker compose` 时代

2024 已无 docker-compose（v1 命令），统一用 docker compose（v2 plugin）。
2023-08 Docker 移除 Compose v1，所有项目必须迁移：

1
2
3
4
5


# 旧
docker-compose up -d

# 新
docker compose up -d

八、Docker 在 K8s 时代的"角色"

2024 大量生产项目已经不用 Docker 跑生产——直接用 K8s + containerd。
Docker 仍用的场景：
- 本地开发
- CI/CD 构建
- 小规模部署（< 10 容器）
- 个人项目
K8s 时代：
- K3s（轻量 K8s，单二进制）
- K0s（CNCF 零摩擦 K8s）
- MicroK8s（Ubuntu 出的）
- minikube（本地开发）

九、Docker 替代品

Podman（Red Hat 出，CentOS Stream / RHEL 9 默认）：无 daemon 架构，rootless 容器。
nerdctl（containerd CLI）：K8s 节点首选。
Buildah：专为 build 场景，无 daemon。
LXC / LXD：系统容器（类似 VM 的容器）。

CIDR 子网掩码速查：/8 /16 /24 /30 /32 到底是什么意思？

Tue, 15 Sep 2015 00:00:00 +0800

背景

看到 192.168.1.0/24、10.0.0.0/8、172.16.0.0/12、127.0.0.1/32 这些写法，很多人不知道末尾的数字是什么意思。

这是 CIDR（Classless Inter-Domain Routing，无类域间路由）表示法，1993 年提出，取代了传统的 A/B/C 类 IP 划分——现在所有 IP 都用 CIDR。

理解 CIDR 的关键：

末尾数字 = 网络前缀位数（子网掩码里 1 的个数）
数字越大 → 网络号越长 → 可用主机数越少
数字越小 → 网络号越短 → 可用主机数越多

一、A/B/C 类 IP 默认子网掩码（历史背景）

为什么会有 /8、/16、/24？这要追溯到 1981 年的有类 IP（Classful IP）：

类别	起始位	默认子网掩码	CIDR 后缀	网络数	每网主机数	范围
A 类	0xxxxxxx	255.0.0.0	/8	128	16,777,214	1.0.0.0 ~ 127.255.255.255
B 类	10xxxxxx	255.255.0.0	/16	16,384	65,534	128.0.0.0 ~ 191.255.255.255
C 类	110xxxxx	255.255.255.0	/24	2,097,152	254	192.0.0.0 ~ 223.255.255.255
D 类（组播）	1110xxxx	—	/4	—	—	224.0.0.0 ~ 239.255.255.255
E 类（实验）	1111xxxx	—	/4	—	—	240.0.0.0 ~ 255.255.255.255

为什么 A 类网络号只有 8 位？ 因为 0xxxxxxx 第一位固定为 0，剩 7 位可变，所以 2^7 = 128 个 A 类网段。 为什么 A 类每网 16,777,214 台？ 因为主机号 24 位全可变，2^24 - 2 = 16,777,214（减 2 是去掉网络地址和广播地址）。

历史包袱：

一个公司哪怕只有 100 台机器，分到 A 类也用不完 16,777,214 个 IP
A 类 1.0.0.0 给了一家澳大利亚公司（APNIC），B 类 16.x 给 HP，C 类 192.168.0.0/16 留作私网
1993 年 CIDR 出现，允许"借位"——A 类也能划 /16、/24，按需分配

结论：现代网络已经没有"必须按 A/B/C 类划分"的规则。/8、/16、/24 只是"看起来眼熟"的历史值。

二、子网掩码与 CIDR 换算

2.1 子网掩码的本质

子网掩码 = 32 位二进制，1 的部分是网络号，0 的部分是主机号。

例如 255.255.255.0：

1
2
3
4


二进制：11111111 11111111 11111111 00000000
 ←── 网络号 ──→ ←─ 主机号 ─→
位数： 8 位 + 8 位 + 8 位 = 24 位 1
CIDR： /24

2.2 常用 CIDR 速查表

CIDR	子网掩码	主机位数	可用主机数（2^n - 2）	典型用途
/8	255.0.0.0	24	16,777,214	一个超大组织（如军队、运营商）
/12	255.240.0.0	20	1,048,574	RFC 1918 私网中等规模
/16	255.255.0.0	16	65,534	大学、大企业内网
/20	255.255.240.0	12	4,094	中型企业
/22	255.255.252.0	10	1,022	中型企业分支
/23	255.255.254.0	9	510	跨子网但节约 IP
/24	255.255.255.0	8	254	最常见：小型企业 / 一个 C 段
/25	255.255.255.128	7	126	拆分 /24
/26	255.255.255.192	6	62	微小型网络
/27	255.255.255.224	5	30	路由器点对点 / 小型
/28	255.255.255.240	4	14	极小网络
/29	255.255.255.248	3	6	点对点链路（两台设备）
/30	255.255.255.252	2	2	点对点（刚好 2 IP）
/31	255.255.255.254	1	0（特殊：2 主机）	RFC 3021 点对点
/32	255.255.255.255	0	1	单 IP（路由条目 / 主机）

2.3 例子：`192.168.0.0/24` 是什么意思？

子网掩码：255.255.255.0
网络号：192.168.0（前 24 位固定）
主机号：0~255（后 8 位可变）
可用 IP：192.168.0.1 ~ 192.168.0.254（254 个）
特殊：
- 192.168.0.0 = 网络地址（标识这个网段，不能配给主机）
- 192.168.0.255 = 广播地址（这个网段所有主机），不能配给主机
- 192.168.0.1 = 网关（惯例）

2.4 子网掩码换算二进制

/24 → 255.255.255.0：

1
2
3
4
5
6


CIDR: /24
 ↓
网络位 24 个 1：11111111 11111111 11111111 00000000
 └───── 24 个 1 ─────┘ └─ 8 个 0 ─┘
 ↓ ↓
十进制：255 255 255 0

/30 → 255.255.255.252：

1
2
3
4


网络位 30 个 1：11111111 11111111 11111111 11111100
 └─────── 30 个 1 ───────┘ └─ 2 个 0 ─┘
 ↓ ↓
十进制：255 255 255 252

三、可变长子网掩码（VLSM）

传统 A/B/C 类的痛点：分到一个 C 类（254 IP），实际只用 50 台，剩 204 个浪费。

CIDR 的解决方案：VLSM（Variable Length Subnet Mask）允许在同一网络内混合不同长度的子网。

实战例子：公司拿到 192.168.10.0/24（256 IP），需要：

部门 A：100 台机器
部门 B：50 台机器
部门 C：20 台机器
部门 D：10 台机器
点对点链路 × 4：各 2 IP

VLSM 划分（从大到小）：

子网	范围	子网掩码	可用主机	部门
192.168.10.0/25	.1 ~ .126	255.255.255.128	126	A
192.168.10.128/26	.129 ~ .190	255.255.255.192	62	B
192.168.10.192/27	.193 ~ .222	255.255.255.224	30	C
192.168.10.224/28	.225 ~ .238	255.255.255.240	14	D
192.168.10.240/30	.241 ~ .242	255.255.255.252	2	p2p 1
192.168.10.244/30	.245 ~ .246	255.255.255.252	2	p2p 2
192.168.10.248/30	.249 ~ .250	255.255.255.252	2	p2p 3
192.168.10.252/30	.253 ~ .254	255.255.255.252	2	p2p 4

256 个 IP 全部分完，零浪费。

四、Linux 实战命令

4.1 ipcalc（计算工具）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19


# CentOS
yum install ipcalc

# Ubuntu
apt install ipcalc

# 用法
ipcalc 192.168.1.0/24
# Address: 192.168.1.0
# Netmask: 255.255.255.0 = 24
# Wildcard: 0.0.0.255
# Network: 192.168.1.0/24
# HostMin: 192.168.1.1
# HostMax: 192.168.1.254
# Broadcast: 192.168.1.255
# Hosts/Net: 254

ipcalc 10.0.0.0/12
# Hosts/Net: 1048574

4.2 ip 命令

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15


# 查看本机 IP 和子网掩码
ip addr show
# inet 192.168.1.100/24 brd 192.168.1.255 scope global eth0
# ↑ IP/CIDR ↑ 广播地址

# 加 IP
ip addr add 10.0.0.5/24 dev eth0

# 删 IP
ip addr del 10.0.0.5/24 dev eth0

# 看路由（CIDR 形式）
ip route show
# default via 192.168.1.1 dev eth0
# 192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.100

4.3 路由表里的 CIDR

1
2
3
4
5
6
7


# 添加点对点路由
ip route add 10.0.0.0/24 via 192.168.1.1 dev eth0

# 默认路由（/0 = 全网）
ip route add default via 192.168.1.1 dev eth0
# 等价于
ip route add 0.0.0.0/0 via 192.168.1.1 dev eth0

4.4 防火墙规则中的 CIDR

1
2
3
4
5
6
7
8


# 放行 10.0.0.0/8 内网
iptables -A INPUT -s 10.0.0.0/8 -j ACCEPT

# 放行单 IP
iptables -A INPUT -s 192.168.1.100/32 -j ACCEPT

# 拒绝 169.254.0.0/16（链路本地）
iptables -A INPUT -s 169.254.0.0/16 -j DROP

4.5 nginx/HAProxy upstream 限制

1
2
3
4
5


# 允许某个 /24 网段访问
location /admin {
 allow 10.0.0.0/24;
 deny all;
}

五、特殊 IP 段

段	含义	用途
0.0.0.0/0	全网	默认路由；监听所有网卡
127.0.0.0/8	回环	`127.0.0.1` = 本机
169.254.0.0/16	链路本地	DHCP 失败时自动分配
224.0.0.0/4	组播	OSPF 224.0.0.5/6、PIM 等
240.0.0.0/4	保留/实验	不可用
255.255.255.255	本地广播	限于本物理网段
10.0.0.0/8	RFC 1918 私网	A 类私网
172.16.0.0/12	RFC 1918 私网	B 类私网（172.16 ~ 172.31）
192.168.0.0/16	RFC 1918 私网	C 类私网（家用路由最常见）
100.64.0.0/10	RFC 6598 共享地址空间	CGN（运营商内网 NAT）
198.18.0.0/15	RFC 2544 基准测试	iperf3、netperf 基准测试

六、计算可用主机数公式

可用主机数 = 2^(32 - CIDR) - 2

/24：2^8 - 2 = 254（去掉网络地址和广播地址） /30：2^2 - 2 = 2（点对点） /32：2^0 - 2 = -1 → 特殊：表示单 IP，没有"网络+广播"概念，所以可用数 = 1

/31 是个特例（RFC 3021）：允许 2 个 IP 全部可用，专门给点对点链路，省 IP。

七、IPv6 CIDR 简述

IPv6 用相同的 CIDR 概念，但位数扩展到 128：

CIDR	含义
`::1/128`	回环（IPv6 的 127.0.0.1）
`fe80::/10`	链路本地（IPv6 的 169.254.0.0/16）
`fc00::/7`	私网（IPv6 的 10.0.0.0/8）
`2000::/3`	全局单播（公网）
`2001:db8::/32`	文档示例

小结

CIDR 看起来只是 IP 后面"加个斜杠 + 数字"，但理解它就理解了 IP 网络的精髓：

/8 /16 /24 是历史值，现在不强制
数字 = 网络前缀位数 = 子网掩码里 1 的个数
VLSM 按需分配，大网拆小网，零浪费
/30 给点对点链路，/32 给单 IP 路由

记忆口诀：

/30 = 255.255.255.252 = 2 IP（点对点）
/24 = 255.255.255.0 = 254 IP（小型企业）
/16 = 255.255.0.0 = 65,534 IP（大学、大企业）
/8 = 255.0.0.0 = 16,777,214 IP（超大组织）

下一步：

用 ipcalc 做日常 IP 规划
学 VLSM 拆网（CCNA 经典题）
IPv6 完整子网规划（IPv6 128 位，CIDR 是必备工具）

2024 视角：IPv6 在 2024 已成"必选项"

2015 那篇 IPv6 只是一笔带过。2024 视角下，IPv6 已是"必选项"——大陆三大运营商全部默认下发 IPv6 PD，Cisco IOS / Linux 内核默认开启 IPv6。

一、IPv6 单栈已"上路"

2024 中国大陆：电信 / 联通 / 移动宽带默认下发 IPv6 前缀（PD / 60 或 /64）。
2024 云厂商：阿里云、腾讯云、华为云 ECS 默认开启 IPv6。
2024 K8s / Docker：默认网络栈都支持 IPv6 双栈。
2024 现实：仍然IPv4 主导（NAT 仍在用），但 IPv6 流量已逐年增长到 30-50%（Google 2024 报告）。

二、IPv6 CIDR 的"日常用法"

/128（单 IP）：一个地址，::1（loopback）= 127.0.0.1 的 IPv6 版。
/64：标准 LAN 网段（SLACC 自动配置的基础单位，不能再细分）。
/48：一个站点的标准前缀（SLAAC 的"父级"）。
/56：小型家庭 / 小企业分配前缀。
/32：ISP / 自治系统的标准分配（IANA 给 RIR）。
/16：RIR 的标准池（IANA 给 RIPE / APNIC）。

段	含义
`::/0`	全网（默认路由）
`::1/128`	回环
`fe80::/10`	链路本地（IPv4 的 169.254.0.0/16）
`fc00::/7`	ULA 私网（IPv4 的 10.0.0.0/8 / 192.168.0.0/16）
`2000::/3`	全局单播（公网）
`2001:db8::/32`	文档示例（RFC 3849）
`64:ff9b::/96`	IPv4/IPv6 NAT（RFC 6052）

三、`ip` 命令 IPv6 用法

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


# 看 IPv6 地址
ip -6 addr show

# 看 IPv6 路由
ip -6 route show

# 加 IPv6 地址
ip -6 addr add 2001:db8::1/64 dev eth0

# ping IPv6
ping6 fe80::1%eth0
ping -6 2001:db8::1

四、`ipcalc` IPv6 支持

1
2
3
4
5


ipcalc 2001:db8::/32
# Address: 2001:db8::
# Netmask: ffff:ffff:0000:0000:0000:0000:0000:0000 = 32
# Prefixlen: 32
# ...

五、IPv6 安全

IPv6 没有 NAT 隐藏内网——每个 IPv6 设备默认公网可达。
防火墙必须显式配置：

1
2
3
4


# nftables IPv6 防火墙
nft add rule inet filter input ip6 saddr ::/0 drop
nft add rule inet filter input ip6 saddr fe80::/64 accept
nft add rule inet filter input ip6 saddr 2001:db8::/32 accept

NDP 防护（防止 IPv6 的"ARP 欺骗"）：

1
2


sysctl -w net.ipv6.conf.all.accept_ra=0 # 关路由器公告
sysctl -w net.ipv6.conf.eth0.accept_ra=0

六、CIDR 在 K8s 时代的"IPAM"

2024 K8s 网络插件（Calico / Cilium）都用 CIDR 做 IPAM（IP 地址管理）。
典型分配：

1
2
3
4
5
6
7
8
9


# Calico
apiVersion: projectcalico.org/v3
kind: IPPool
metadata:
 name: default-pool
spec:
 cidr: 10.244.0.0/16  # Pod IP 池
 ipipMode: Always
 natOutgoing: true

每个 Node 划分子网（Calico blocksize = 26）：

1
2
3


calicoctl ipam show
# 10.244.0.0/26 node-a
# 10.244.0.64/26 node-b

IPv6 双栈：

1
2
3
4


spec:
 cidr: 10.244.0.0/16
 cidr6: 2001:db8::/56
 ipipMode: Always

源文档：os/linux/第三方tools/net/ip.md（CIDR 概念、二进制换算、可用 IP 范围）

CentOS 7 内核升级：ELRepo 与 GRUB2 实战

Sun, 15 Mar 2015 00:00:00 +0800

一、为什么 2015 年要升级 CentOS 7 内核

CentOS 7 默认内核是 3.10.0-1160.el7.x86_64——RHEL 7 的"长期维护"线，稳定性极高但新硬件支持差。到 2018-2019 年以后，新出的 Intel 网卡（i40e/ice）、AMD EPYC、新 NVMe 控制器都靠这个老内核打补丁勉强支持，性能也跑不满。

2015 年开始国内运维圈开始批量给生产机升级内核，标准做法是 ELRepo 仓库 + GRUB2——ELRepo 提供 kernel-ml（mainline，主线最新版）和 kernel-lt（longterm，长期维护版）两套线，按需选。

包	来源	适用
`kernel-lt`	linux-stable	服务器、追求稳定
`kernel-ml`	linux-mainline	新硬件支持、想用 Btrfs/OverlayFS 新特性
`kernel-ml-devel`	linux-mainline	编译 DKMS 模块

本文写于 2015-03-15，示例基于 CentOS 7.9（2020-09 发布），但 ELRepo 流程在 7.x 全版本通用。

二、查清当前内核

1
2


uname -r
# 3.10.0-1160.el7.x86_64

三、装 ELRepo 仓库

1
2
3
4
5


# 导入公钥
rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org

# 装仓库（7.x 通用）
yum install https://www.elrepo.org/elrepo-release-7.el7.elrepo.noarch.rpm

坑提醒：如果 rpm --import 报 SSL 错误，先 yum update nss（NSS 库太老）。

四、查可用版本

1

yum --disablerepo="*" --enablerepo="elrepo-kernel" list available

会列出当前 elrepo 仓库里可装的全部 kernel 系列。

五、安装新版内核

5.1 装最新稳定版（mainline）

1

yum install -y kernel-ml kernel-ml-devel --enablerepo=elrepo-kernel

5.2 装指定版本

1

yum install -y kernel-lt-5.4.171-1.el7.elrepo --enablerepo=elrepo-kernel

kernel-ml-devel 是配套的内核头文件，装 Docker / VirtualBox Guest Additions / NVIDIA 驱动时要用。

六、查启动项

1
2
3
4
5
6
7
8


# 看默认启动项
grub2-editenv list
saved_entry=CentOS Linux (3.10.0-1160.el7.x86_64) 7 (Core)

# 看所有已装内核
awk -F\' '$1=="menuentry " {print i++ " : " $2}' /etc/grub2.cfg
# 0 : CentOS Linux (5.15.4-1.el7.elrepo.x86_64) 7 (Core)
# 1 : CentOS Linux (3.10.0-1160.el7.x86_64) 7 (Core)

坑提醒：/etc/grub2.cfg 在某些机器上是符号链接到 /boot/grub2/grub.cfg 的。如果 awk 命令报"找不到文件"，就先重建：

1

grub2-mkconfig -o /boot/grub2/grub.cfg

七、设置默认启动版本

1
2
3


grub2-set-default 0
# 也可以直接用名称
# grub2-set-default "CentOS Linux (5.15.4-1.el7.elrepo.x86_64) 7 (Core)"

再 grub2-editenv list 确认已切换。

八、重启验证

1

reboot

启动后：

1
2


uname -r
# 5.15.4-1.el7.elrepo.x86_64

强烈建议：第一次升级新内核先别删旧内核。生产机保留 1-2 个老内核作为回退，至少观察一周再清理。

九、清理旧内核

确认新内核稳定后，可以清理：

1
2
3
4
5
6
7
8


# 列出现有内核
rpm -qa | grep kernel

# 删除老内核（注意只删自己确认要删的版本）
yum remove kernel-3.10.0-1160.el7.x86_64 \
 kernel-tools-libs-3.10.0-1160.102.1.el7.x86_64 \
 kernel-3.10.0-1160.102.1.el7.x86_64 \
 kernel-tools-3.10.0-1160.102.1.el7.x86_64

坑提醒：kernel-tools / kernel-tools-libs 是系统工具包，别全删，保留一个版本对应你当前启动的内核。

十、UEFI 环境的特殊处理

如果你的机器是 UEFI 启动（云主机 / 物理机新硬件），grub2-set-default 之外还要重建 EFI 启动项：

1
2


yum install -y grub2-efi shim
grub2-mkconfig -o /boot/efi/EFI/centos/grub.cfg

否则升级完内核可能直接卡在 UEFI 启动界面。

十一、典型坑速查

现象	原因	处理
重启后还是老内核	`grub2-set-default` 没生效 / UEFI 启动项没更新	检查 `grub2-editenv list`、重建 EFI 启动项
Docker 启动报 “kernel too old”	容器 runtime 要求内核 ≥ 3.10 部分特性	升到 `kernel-ml` 5.x
编译模块找不到头文件	没装 `kernel-ml-devel`	装对应版本的 `kernel-ml-devel`
升级后 K8s kubelet 启动失败	内核 cgroup driver 跟 systemd 不一致	kubelet 加 `--cgroup-driver=systemd` 或编辑 `/etc/sysconfig/kubelet`
网络断流 / 驱动 panic	新内核不识别老硬件	进老内核（grub 选上一项），回退

十二、下一步

装新内核后想开 Btrfs / OverlayFS 高级特性 → 见 2015-09-15 CentOS 7 全面实战 的 Docker 部分
想给老机器回退到 3.10 内核 → 删 kernel-ml，重启在 GRUB 选老内核，重设 grub2-set-default 1
批量升级多台机器 → 用 Ansible 推 yum + reboot + 验证三件套
已经上了 K8s 1.22+ → 注意 cgroup driver 必须是 systemd（Docker 19.03+ 默认识别）

参考资料

2024 视角：ELRepo 仍是 7.x 时代的"老朋友"，9.x 时代要换思路

本文写于 2015-03-15——2015 那时候升级 CentOS 7 内核是"激进动作"。2024 视角下，CentOS 7 已经 EOL，新机器直接上 Rocky / Alma 9 + ELRepo 9 即可。

一、CentOS 7 升级到 kernel-ml 5.x 已成"非主流"

2015-2019 年代生产服务器升到 5.x 是"前沿"。
2024 视角下：
- CentOS 7 / Rocky 7 默认内核仍是 3.10（但 7 已 EOL，不应该再升）。
- Rocky / Alma 9默认内核是 5.14 LTS（基于 RHEL 9），直接是 5.14+，不需要 ELRepo 升级。
ELRepo 的角色变化：
- 2015：唯一可靠的"主线内核"仓库
- 2024：仍是"主线 / 长期支持"仓库，但新机器默认内核已够用

二、kernel-ml 5.x 升到 6.x LTS（2024 推荐）

2024 主流 LTS 内核：
- 5.15 LTS（EOL 2026-10，RHEL 9 的基础内核）
- 5.10 LTS（EOL 2026-12，长期支持）
- 6.1 LTS（EOL 2028-12，新机器推荐）
- 6.6 LTS（EOL 2026-12，Ubuntu 24.04 默认）
- 6.10（非 LTS，2024-07 发布，2025-07 EOL）
2024 推荐：kernel-ml-6.1 LTS 或 6.6 LTS

1
2
3


# 装 6.6 LTS
yum --enablerepo=elrepo-kernel install -y kernel-ml-6.6.*
# 自动加 GRUB 启动项、保留老内核

三、CentOS Stream 9 + ELRepo 9 的玩法

CentOS Stream 9 / Rocky Linux 9 / AlmaLinux 9 用 ELRepo 9 仓库：

1
2
3
4
5
6
7
8


rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org
yum install https://www.elrepo.org/elrepo-release-9.el9.elrepo.noarch.rpm

# 看可用版本
yum --disablerepo='*' --enablerepo='elrepo-kernel' list available

# 装 kernel-ml（最新主线）
yum --enablerepo=elrepo-kernel install -y kernel-ml kernel-ml-devel

grub 配置同 7.x：grub2-set-default 0

四、cgroup v2 时代的内核选择

2015 那篇升级内核主要为了"新硬件支持"。
2024 升级内核的另一个理由：cgroup v2（systemd 244+ 默认）。

cgroup v1	cgroup v2	2024 推荐
CentOS 7 默认	需内核 4.5+	升 5.10+
CentOS 8 / Rocky 8 默认	默认 v1	升 5.14+ 改 v2
Rocky 9 / Alma 9	默认 v2	直接用

1
2
3


# 看当前 cgroup 版本
cat /sys/fs/cgroup/cgroup.controllers
# cgroup2 才有这个文件

五、Btrfs 时代的"新选择"

2015 那篇升内核为了"用 Btrfs / OverlayFS"。

2024 视角：
- Btrfs 在 Fedora 33+ / openSUSE 是默认 FS，RHEL 9 不默认（保守策略）。
- OverlayFS（容器基础）所有现代内核都支持。
- 新文件系统：
  - EROFS（华为 2018+）：只读压缩 FS，华为云 / 鸿蒙 OS 大量用。
  - bcachefs（2023 推出）：Kent Overstreet 设计，对标 Btrfs / ZFS，Linux 6.7+ 实验支持。

六、kpatch / livepatch：免重启升级

2015 那篇所有升级都需要重启。2024 有"livepatch"：

Canonical Livepatch（Ubuntu）：内核安全更新不重启。
Kpatch（Red Hat / RHEL）：kpatch-build 编译 + livepatch 应用。
KernelCare（CloudLinux 商业）：CentOS / RHEL 全系列支持。

1
2
3
4
5
6


# RHEL 9 / Rocky 9 安装 kpatch
dnf install kpatch
dnf install kpatch-patch-X.X.X
# 应用（不重启）
kpatch load
kpatch list

生产环境升级内核的"零停机"姿势。

七、安全启动 + 内核模块签名

2015 那篇没提 UEFI Secure Boot。
2024 视角：
- Secure Boot 默认开启（云厂商、Win11 PC）
- 自编译内核模块（DKMS）需要签名
- NVIDIA 驱动 / VirtualBox 必须用 distro 签名的版本

1
2
3


# 装 mokutil（管理 MOK 密钥）
mokutil --import /path/to/MOK.der
# 重启后进 UEFI 确认

八、内核升级的"安全策略"

生产服务器：
- 只升 LTS 内核（5.15 / 5.10 / 6.1 / 6.6）
- 保留至少 1 个老内核（回退用）
- 重大版本升级（如 5.10 → 6.1）先在测试机跑 2 周
- kernel-ml 慎用生产（主线，非 LTS）
开发机 / 容器：
- 可以激进（kernel-ml 6.10+）
- 容器化场景内核升级对应用透明（应用跑在用户态）

fail2ban 防 SSH/FRP/Nginx 爆破实战：日志正则匹配 + iptables 拉黑

Sun, 15 Mar 2015 00:00:00 +0800

背景

公网上的 SSH 22 端口，每天被全球扫描器爆破几千次。改端口可以挡一部分，但治标不治本。fail2ban 通过扫描日志匹配失败登录，自动调用 iptables/nftables 拉黑攻击 IP——简单粗暴有效，是 Linux 服务器"装了不亏"的标配。

适用场景：

SSH/RDP/FTP 暴破防御
FRP 反向代理的"真实攻击者 IP"拉黑（frpc 只看到 127.0.0.1，必须在 frps 端 ban）
Nginx 反代日志里的恶意访问拦截
自定义服务日志的异常行为检测

前置知识：

Linux 基础（systemd、iptables）
正则表达式基础（fail2ban filter 用的就是正则）

一、fail2ban 工作原理

1
2
3
4
5
6
7


服务日志（sshd/auth.log/secure）
 ↓
[filter.d/*.conf 正则匹配] → 失败次数超阈值
 ↓
[jail.local 触发动作] → iptables/nftables DROP
 ↓
[封禁时间到] → 自动解封

关键组件：

filter：正则规则（/etc/fail2ban/filter.d/）
jail：封禁策略（/etc/fail2ban/jail.local）
action：触发动作（iptables、route、cloudflare API 等）
bantime / findtime / maxretry：封禁时长 / 检测窗口 / 失败次数阈值

二、安装

2.1 CentOS

1
2


yum -y install epel-release
yum -y install fail2ban

2.2 Ubuntu / Debian

1

apt install fail2ban

2.3 启动 + 开机自启

1
2


systemctl enable --now fail2ban
systemctl status fail2ban

验证 iptables 规则已加载：

1
2


iptables -L -n
# 应看到 f2b-sshd 等 chain

三、配置 SSH 防护（默认即开）

/etc/fail2ban/jail.local（注意是 .local 不是 .conf，.local 优先级高）：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15


[DEFAULT]
# 忽略的 IP（公司出口、内网）
ignoreip = 127.0.0.1/8 10.0.0.0/8 192.168.0.0/16
# 默认参数（每个 jail 可单独覆盖）
bantime = 24h
findtime = 10m
maxretry = 5

[sshd]
enabled = true
# filter 内置 sshd.conf（Debian/Ubuntu） / sshd.conf（CentOS 在 filter.d/ 选）
filter = sshd
backend = systemd
# 日志路径（按发行版二选一）
logpath = %(sshd_log)s

%(sshd_log)s 是 fail2ban 内置变量，CentOS 是 /var/log/secure，Ubuntu 是 /var/log/auth.log，不用手填。

reload 生效：

1
2
3


fail2ban-client reload
# 或
systemctl restart fail2ban

验证：

1
2


fail2ban-client ping # 返回 Server replied: pong
fail2ban-client status sshd # 看当前被 ban 的 IP

四、FRP 反代场景的关键配置

核心痛点：frpc 看到的访问者 IP 永远是 127.0.0.1（因为 frps 是 localhost 转发的），必须在 frps 所在的 VPS 上配 fail2ban，按 frps 日志里的真实 IP 拉黑。

4.1 启用 FRP 日志

/usr/local/games/rp/frps.ini：

1
2
3
4
5


[common]
bind_port = 7000
log_file = /var/log/frps.log
log_level = info
log_max_days = 7

4.2 编写 filter

/etc/fail2ban/filter.d/frps.conf：

1
2
3
4


[Definition]
# frps 日志格式: get a user connection [1.2.3.4:5678]
failregex = ^.*get a user connection \[<HOST>:[0-9]*\]
ignoreregex = ^.*\[.*gateway.*

<HOST> 是 fail2ban 的内置占位符，匹配 IP 段。

4.3 编写 jail

/etc/fail2ban/jail.local 追加：

1
2
3
4
5
6
7
8


[frps]
enabled = true
filter = frps
logpath = /var/log/frps.log
findtime = 3m
maxretry = 3
bantime = 120m
action = iptables-allports[name=frps, protocol=all]

多个协议分离 jail（更精细）：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26


[frps-ssh-ban]
enabled = true
filter = frps-ssh-ban
logpath = /var/log/frps.log
findtime = 3m
maxretry = 3
bantime = 120m
action = iptables-allports[name=frps-ssh-ban, protocol=tcp]

[frps-rdp-ban]
enabled = true
filter = frps-rdp-ban
logpath = /var/log/frps.log
findtime = 3m
maxretry = 6
bantime = 30m
action = iptables-allports[name=frps, protocol=tcp]

[frps-ftp-ban]
enabled = true
filter = frps-ftp-ban
logpath = /var/log/frps.log
findtime = 5m
maxretry = 30
bantime = 60m
action = iptables-allports[name=frps, protocol=tcp]

filter 内容（按代理名分组）：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


# /etc/fail2ban/filter.d/frps-ssh-ban.conf
[Definition]
failregex = ^.*\[.*ssh.*\] get a user connection \[<HOST>:[0-9]*\]
ignoreregex = ^.*\[.*gateway.*

# /etc/fail2ban/filter.d/frps-rdp-ban.conf
[Definition]
failregex = ^.*\[.*RDP.*\] get a user connection \[<HOST>:[0-9]*\]
ignoreregex =

# /etc/fail2ban/filter.d/frps-ftp-ban.conf
[Definition]
failregex = ^.*\[.*FTP_21.*\] get a user connection \[<HOST>:[0-9]*\]
ignoreregex =

测试正则匹配（上线前必做）：

1
2


fail2ban-regex /var/log/frps.log /etc/fail2ban/filter.d/frps.conf
# 末尾会输出匹配行数

五、Nginx 日志防护

如果用 Nginx 反代 RDP/SSH（stream 四层 + 自定义 log_format）：

5.1 自定义日志格式

1
2
3
4
5


log_format proxy '[$time_local] $protocol status:$status, '
 'bytes client:$bytes_sent/$bytes_received $session_time, '
 'client: $remote_addr, upstream:"$upstream_addr", '
 'bytes upstream:$upstream_bytes_sent $upstream_bytes_received';
access_log /var/log/nginx/proxy.log proxy;

5.2 写 filter

1
2
3
4


# /etc/fail2ban/filter.d/nginx-3399.conf
[Definition]
failregex = ^.*client: <HOST>, upstream:"10\..*:3389"
ignoreregex =

5.3 写 jail

1
2
3
4
5
6
7
8


[nginx-3399]
enabled = true
filter = nginx-3399
logpath = /var/log/nginx/proxy.log
findtime = 5m
maxretry = 10
bantime = 60m
action = iptables-multiport[name=nginx-3399, port="3399", protocol=tcp]

六、多日志文件支持

轮转日志场景（按天/按大小切割）：

1
2
3
4
5
6
7


# 通配符
logpath = /var/log/vpn_*.log

# 多个文件
logpath = /var/log/vpn_20191007.log
 /var/log/vpn_20191008.log
 /var/log/vpn_20191009.log

⚠️ 等号要对齐（fail2ban INI parser 严格）。

七、日常管理命令

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23


# 服务状态
fail2ban-client ping

# 列出所有 jail
fail2ban-client status

# 查看指定 jail
fail2ban-client status sshd

# 手动封 IP
fail2ban-client set sshd banip 1.2.3.4

# 手动解封
fail2ban-client set sshd unbanip 1.2.3.4

# 解封所有
fail2ban-client unban --all

# 重载配置（不重启服务）
fail2ban-client reload

# 看日志
tail -f /var/log/fail2ban.log

直接操作 iptables（不进 fail2ban 的快封）：

1
2
3
4
5
6
7
8


# 手动封
iptables -A INPUT -s 1.2.3.4 -j DROP

# 查询
iptables -L -n --line-number

# 删除 INPUT 第 3 条规则
iptables -D INPUT 3

八、常见坑

8.1 封了之后 SSH 自己进不去

症状：把整个机房 IP 段封了。

对策：

ignoreip 把内网/常用出口 IP 段加白名单
至少留一个"急救"通道（如 IPMI、Console、备用跳板）

8.2 重启服务后封禁丢失

iptables 规则在重启后清空。对策：

1
2
3
4
5
6
7
8


# CentOS
yum install iptables-services
systemctl enable iptables
service iptables save

# Ubuntu
apt install iptables-persistent
netfilter-persistent save

8.3 多网卡机器

chain = INPUT 即可默认全局生效。如果要区分内/外网卡，用 chain = FORWARD 配合路由。

8.4 日志被 logrotate 改名后 fail2ban 跟丢

backend = polling 改 backend = systemd（systemd 日志自动跟踪），或者在 /etc/logrotate.d/ 加 postrotate 通知 fail2ban。

九、卸载

1
2
3
4
5
6


# 清掉所有 fail2ban iptables 规则
iptables -L | grep f2b | awk '{print $NF}' | xargs -I{} iptables -F {}

/etc/init.d/fail2ban stop # 或 systemctl stop fail2ban
apt remove fail2ban -y
apt purge fail2ban -y # 删配置

小结

fail2ban 0.10+ 的核心是 filter 正则 + jail 策略：

SSH 默认就开（apt install 装完自带）
FRP 场景最关键——必须在 frps 端按 frps.log 真实 IP 拉黑
jail.local 永远比 jail.conf 优先（升级不会覆盖）
测试正则：fail2ban-regex 上线前必跑
iptables 持久化 否则重启失效

下一步：

配合 cloudflare action 封 CDN 后面的恶意 IP
用 recidive jail 二次封禁"被解封又来"的攻击者
集中化管理：多台机器用 fail2ban-web 或自建 dashboard

2024 视角：fail2ban 仍是经典，但 nftables 时代来了

2015 那篇基于 iptables。2024 视角下 nftables 已成事实标准——fail2ban 1.0+（2022-10 发布）已支持 nftables。

一、nftables 替代 iptables 是大势所趋

RHEL 8/9 / Fedora / Ubuntu 22.04+ / Debian 12+ 默认都是 nftables（iptables 命令其实是 nftables 的兼容层）。
fail2ban 1.0.x（2022-10 起）支持 banaction = nftables-multiport：

1
2
3
4
5


# /etc/fail2ban/jail.local
[DEFAULT]
banaction = nftables-multiport
banaction_allports = nftables-allports
chain = input

nftables 优势：
- 原子化更新（nft 是事务性的，iptables 改一条规则要逐条 add/delete）
- 规则集更紧凑（nft 的语法比 iptables 短 30-50%）
- 内建 set / map（无需 ipset 单独装）

1
2


# nftables 查 fail2ban 规则
nft list chain inet filter f2b-sshd

二、`recidive` 监狱——“二次封禁"防反复

2015 那篇提到 recidive。2024 实际配置：

1
2
3
4
5
6
7
8
9


# /etc/fail2ban/jail.local
[recidive]
enabled = true
filter = recidive
logpath = /var/log/fail2ban.log
bantime = 1w
findtime = 1d
maxretry = 5
banaction = %(banaction)s

效果：被解封后又来攻击的 IP，封一周。

三、Cloudflare Action——封 CDN 后面的 IP

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# /etc/fail2ban/action.d/cloudflare.conf
[Definition]
actionban = curl -s -X POST "https://api.cloudflare.com/client/v4/zones/<ZONE_ID>/firewall/access_rules/rules" \
 -H "Authorization: Bearer <API_TOKEN>" \
 -H "Content-Type: application/json" \
 --data '{"mode":"block","configuration":{"target":"ip","value":"<ip>"},"notes":"Fail2ban"}'
actionunban = curl -s -X DELETE "https://api.cloudflare.com/client/v4/zones/<ZONE_ID>/firewall/access_rules/rules/<RULE_ID>" \
 -H "Authorization: Bearer <API_TOKEN>"

[Init]
RULE_ID =

1
2
3
4


[sshd-cloudflare]
enabled = true
filter = sshd
action = cloudflare

四、fail2ban + Telegram 告警

1
2
3
4
5


# /etc/fail2ban/action.d/telegram.conf
[Definition]
actionban = curl -s -X POST "https://api.telegram.org/bot<TOKEN>/sendMessage" \
 -d chat_id=<CHAT_ID> \
 -d text="Fail2ban: <ip> banned (<failures> failures)"

五、fail2ban 1.1 的新特性（2023-10）

持久化 SQLite 数据库（dbfile = /var/lib/fail2ban/fail2ban.sqlite3）——重启后封禁不丢。
database 升级：以前是 BerkeleyDB（要装 python3-pyasn1），现在用 SQLite。
正则引擎优化：Python 3.11+ 提速 20%。

六、CrowdSec：fail2ban 的"现代继任者”

CrowdSec（Go 写的现代版 fail2ban）2024 已成为更激进的选择：

1
2
3
4


# 装
curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.deb.sh | sudo bash
sudo apt install crowdsec
sudo apt install crowdsec-firewall-bouncer-iptables

核心优势：
- 社区共享黑名单（CrowdSec 中心服务器聚合）
- Go 写（性能比 Python fail2ban 高 10 倍）
- bouncer 架构（解析 + 拉黑分离）
- PostgreSQL 存储（可查询历史）
2024 实践：fail2ban + CrowdSec 可以共存——fail2ban 处理本地 log，CrowdSec 接收社区信号。

七、fail2ban 在 Docker 时代的"困境"

fail2ban 装在 host 上时，它看不到容器里的日志（除非 mount log 目录到 host）。
fail2ban 装在容器里时，它改不了 iptables/nftables（容器网络是隔离的）。
2024 推荐方案：
- 方案 A：fail2ban 装 host，把容器日志 mount 出来（适合简单场景）
- 方案 B：用 CrowdSec + bouncer in container（更适合 K8s）
- 方案 C：直接上 WAF（Cloudflare / ModSecurity）—— 应用层防护

源文档：os/linux/第三方tools/safe/fail2ban/fail2ban.md（filter 模板、jail.local 多协议、FRP 集成）

Linux 系统工具命令速查：cat/grep/sed/find/tar/tmux/top 等 20+ 工具精要

Sun, 15 Mar 2015 00:00:00 +0800

一、为什么是 2015 年这一份

2015 年这个时间点前后，Linux 命令行工具进入"成熟稳定期"：

核心三剑客（cat/grep/sed/awk/find）自 1980 年代起就没大改过
GNU coreutils 系列（ls/cat/md5sum/envsubst 等）2015 已是 8.x
systemd 在 RHEL 7（2014）/ CentOS 7（2014）/ Ubuntu 15.04（2015）陆续上位
top 3.x 时代 / tmux 1.x 稳定（tmux 2.0 是 2015-04 发布的）
glances 2.x 时代（glances 2.0 是 2014-12 发布的）

这一篇覆盖日常 Linux 工作中出现频次最高的 20+ 工具——文件查看、文本处理、进程管理、压缩归档、系统信息、杂项命令。每条只给"够用"的参数速查，不展开手册（详见各命令的 man 页）。

阅读建议：本文按"主题归类"组织，每个小节独立可读。遇到具体场景直接 Ctrl+F 搜命令名。

二、文件查看与操作

2.1 `cat`：查看文件内容

cat 是"concatenate"的简写，2015 已是 8.x 时代。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


# 查文件内容
cat filename

# 把 EOF 加上引号，变量就不会被解析
cat <<"EOF" > docker-compose.yaml
version: "3"
services:
 base:
 image: ...
EOF

重要细节：cat <<"EOF" vs cat <<EOF 区别在引号。带引号时 shell 不解析 $VAR、反引号等，写 Dockerfile / K8s manifest 这种带 $VAR 的模板文件时必须用引号。

2.2 `ls`：列出文件信息

1
2
3
4
5


# 查文件大小
ls -l 文件名 | awk '{print $5}'

# 字节数
stat -c "%s" 文件名

2.3 `md5sum`：校验文件完整性

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13


# 生成校验码
md5sum docker-compose > docker-compose-md5sums.txt

# 多个文件
md5sum 文件1 文件2 > fs.md5
md5sum 文件1 文件2 >> fs.md5

# 校验（输出 OK / FAILED）
md5sum -c docker-compose-md5sums.txt

# 只看退出码（CI/CD 场景）
md5sum --status -c docker-compose-md5sums.txt
echo $? # 0=全 OK，1=有 FAILED

2.4 `hdparm`：测试磁盘读写速度

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 测试读取效率
hdparm -t /dev/sda

# 测试硬盘缓存的读取速度
hdparm -T /dev/sda

# 直接测试（绕过缓存）
hdparm -tT --direct /dev/sda

# 查看 DMA 情况
hdparm -cdt /dev/sda

2.5 `rm`：删除文件/目录

大量文件不能用 rm *，会触发 -bash: /bin/rm: 参数列表过长。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


# 查看大文件/目录
du -sh * | sort -hr | head

# 方法一：find + rm
find . -type f -mtime +0 -exec rm -f {} +

# 方法二：xargs 分组
find . -name "*" | xargs rm -rf '*'

# 方法三：ls + xargs 限定每组 9 个
ls | xargs -n 9 rm -rf

# 清理两天前的数据
find ./ -mtime +1 | xargs rm -rf

三、文本处理三剑客

3.1 `grep`：搜索匹配行

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


# 显示上下行数
grep -C 50 pattern file

# 显示前 / 后
grep -B 5 pattern file
grep -A 5 pattern file

# 不区分大小写
grep -i pattern file

# 实战：查 docker 日志里最后百万行有 error 关键字的不区分大小写前后 10 行
docker logs -f --tail=1000000 appbackend | grep -C 10 -i error

3.2 `sed`：流编辑器

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20


# 内容追加
# 首行追加
sed -i "1i\内容" 文件名
sed -i "1i\SET FOREIGN_KEY_CHECKS = 0;" /tools/safety.sql

# 尾行追加
echo "内容" >> 文件名

# 打印第一行 / 最后一行
sed -n 1p /tools/safety.sql
sed -n '$p' /tools/safety.sql
tail -n 1 /tools/safety.sql
awk 'END{print}' /tools/safety.sql

# 删除
sed -i '1d' /tools/safety.sql # 删第一行
sed -i '$d' /tools/safety.sql # 删最后一行

# 全局替换
sed -i 's/原字符串/新字符串/g' 文件名

3.3 `find`：查找文件

1
2
3
4
5
6
7
8
9


# 当前目录下找名为 file.txt 的文件
find . -name file.txt

# 找大文件 / 旧文件
find . -type f -size +100M
find . -type f -mtime +30

# 找并执行命令
find . -name "*.log" -exec rm -f {} \;

四、进程管理

4.1 `ps`：查看进程

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 经典组合
ps -aux
# a: 显示所有程序
# u: 以用户为主的格式
# x: 显示所有程序，不以终端机区分

# 查指定进程
ps -aux | grep test.sh | grep -v grep

# 内存占用高的前 20
ps aux | head -1; ps aux | grep -v PID | sort -rn -k +4 | head -20

grep -v grep：把 grep 命令本身从结果里排除掉，否则会看到自己。

4.2 `kill`：杀进程

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 优雅退出
kill <pid>

# 强制退出
kill -9 <pid>

# 杀某用户的所有进程
pkill -u 用户名

# 杀进程并踢出登录
pkill -kill -t tty

4.3 `top`：实时进程监控

top 是 1991 年起的"上古"工具，至今仍是 Linux 性能观测的入门首选。

1

top -c -bw 512 # 显示完整命令行，输出宽度 512

输出解读：

行	含义
第 1 行	当前时间、运行时间、当前用户、CPU 平均负载（1/5/15 分钟）
第 2 行	总/运行/休眠/停止/僵尸进程数
第 3 行	us（用户）/ sy（内核）/ ni（调整优先级）/ id（空闲）/ wa（等待 IO）/ hi（硬件中断）/ si（软件中断）/ st（虚拟化偷走）
第 4 行	物理内存总量、空闲、已用、内核缓存
第 5 行	虚拟内存总量、空闲、已用、下一波分配量

进程字段：

字段	含义
PID	进程 ID
USER	进程用户名
PR	动态优先级
NI	静态优先级（可被 nice 调整）
VIRT	虚拟内存
RES	物理内存
SHR	共享内存
S	状态（D 不可中断 / I idle / R 运行 / S 睡眠 / T 停止 / Z 僵尸）
%CPU / %MEM	CPU / 内存占用
TIME+	累计 CPU 时间
COMMAND	命令

Java 进程的 VIRT 异常大：Java 8+ 用 Metaspace 取代 PermGen，元空间放在 OS 本地内存。每个线程都分配一个 arena（64MB），线程一多 VIRT 就巨大。这不是真用了那么多内存——要用 pmap 查真实占用。

1
2
3


pmap -x <pid> | sort -n -k3
# 输出内存块详细信息
cat /proc/<pid>/smaps

常用快捷键：

快捷键	功能
`shift+m`	按内存排序
`shift+P`	按 CPU 排序
`shift+t`	按时间排序
`shift+n`	按 PID 排序
`m`	内存显示模式
`E`	内存总览单位
`e`	进程内存单位
`c`	显示完整命令行
`i`	不显示闲置
`l`	启动时间和平均负载

4.4 `tmux`：终端复用

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22


# 安装
yum -y install tmux # CentOS
apt install -y tmux # Debian/Ubuntu

# 新建会话
tmux new -s session_name

# 退出（不关会话）
# ctrl + b 再输入 d

# 进入已有会话
tmux attach -t session_name

# 查看所有会话
tmux ls
# ctrl + b 再输入 s 交互式切换

# 关闭指定会话
tmux kill-session -t session_name

# 关闭所有会话
tmux ls | grep : | cut -d. -f1 | awk '{print substr($1, 0, length($1)-1)}' | xargs kill

4.5 `nohup`：不挂断运行

1
2


# 不挂断运行 test.sh，输出重定向到 output.log
nohup ~/user/test.sh > output.log 2>&1 &

0 —— 键盘输入
1 —— 屏幕输出（标准输出）
2 —— 错误输出
2>&1 —— 把错误输出重定向到标准输出
最后的 & —— 后台运行

jobs 命令只对当前终端有效，关闭终端后 jobs 就看不到后台进程了，此时用 ps。

1
2
3
4
5


# 显示所有任务的进程号
jobs -l

# 显示任务状态变化
jobs -n

五、压缩归档

5.1 `tar`：归档与压缩

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23


# 五个独立命令
# -c: 建立压缩档案
# -x: 解压
# -t: 查看内容
# -r: 向压缩归档文件末尾追加文件
# -u: 更新原压缩包中的文件

# 可选参数
# -z: gzip
# -j: bz2
# -Z: compress
# -v: 显示所有过程
# -O: 将文件解开到标准输出
# -f: 使用档案名字（必须是最后一个参数）

# 压缩
tar -zcvf xxx.tar.gz xxx

# 解压
tar -zxvf xxx.tar.gz

# 解压到指定文件夹（文件夹必须已存在）
tar -zxvf /file/xxx.tar.gz -C /home/docker

六、系统信息

6.1 CPU 信息

1
2
3
4
5
6
7
8


# 最详细
cat /proc/cpuinfo

# 简单
lscpu

# 最简单：只显示核心数
nproc

统计 CPU 数量：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17


# 总核数 = 物理 CPU 个数 × 每颗物理 CPU 的核数
# 总逻辑 CPU 数 = 物理 CPU 个数 × 每颗物理 CPU 的核数 × 超线程数

# 物理 CPU 个数
cat /proc/cpuinfo | grep "physical id" | sort | uniq | wc -l

# 每个物理 CPU 的核数
cat /proc/cpuinfo | grep "cpu cores" | uniq

# 逻辑 CPU 个数
cat /proc/cpuinfo | grep "processor" | wc -l

# 线程数 = 逻辑 CPU 数
grep 'processor' /proc/cpuinfo | sort -u | wc -l

# 超线程：cpu cores 和 siblings 不一致则开启
cat /proc/cpuinfo | grep -e "cpu cores" -e "siblings" | sort | uniq

6.2 内存信息

1
2
3
4
5
6
7


# 查所有内存设备的详细信息
sudo dmidecode | grep -P -A5 "Memory\s+Device" | grep Size | grep -v Range
# 或
dmidecode -t 17

# 完整版
dmidecode | grep -A16 'Memory Device'

6.3 主板/PCI 设备

1
2
3
4
5


yum install -y pciutils # centos 安装（ubuntu 22.04+ 自带）
lspci -v

# 网卡驱动详细信息
ethtool -i eno1

6.4 `journalctl`：systemd 日志查询

journalctl 是 systemd 的日志工具，2015 年起在主流发行版成为默认日志系统。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17


# 看本机启动以来的所有日志
journalctl

# 看指定服务
journalctl -u nginx

# 看内核日志
journalctl -k

# 看最近 10 分钟
journalctl --since "10 min ago"

# 跟踪（类似 tail -f）
journalctl -f

# 看指定时间段
journalctl --since "2024-01-01" --until "2024-01-02"

七、`glances`：htop 的"加强版"

glances（2014-12 发布 2.0）提供一屏式综合监控，常被推荐为 htop 的替代品。

1
2
3
4
5
6
7
8
9


# 安装
yum -y install glances # CentOS
apt install -y glances # Debian/Ubuntu

# 配套：硬件温度监控
yum -y install lm_sensors

# 启动
glances

关于 htop：htop 在 2015 仍是 top 的"事实标准"加强版。glances 的差异在"一屏看 CPU / 内存 / 磁盘 / 网络 / 进程全维度"。本文不展开，详见独立文章。

八、环境变量与模板：`envsubst`

envsubst 是 GNU gettext 套件里的小工具，专门做"模板 + 环境变量 → 配置"：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31


# 1. 模板文件 t.yaml
cat << "EOF" > t.yaml
systeminfo:
 OS: $OS
 user: $USER
 home: $HOME
 args:
 [
 "$args"
 ]
EOF

# 2. 脚本 t.sh
cat << "EOF" > t.sh
#!/usr/bin/env bash
export OS=$(uname -s)
export args="/wait.sh 10.8.33.127:8848 -t 0"
ports=(100 200 300)
nodePort=30000
for p in ${ports[*]}; do
 nodePort=$[$nodePort+1]
 sed -i "8a \ - name: port$p\n port: $p\n targetPort: $p\n nodePort: $nodePort" t.yaml
done
envsubst < t.yaml > t1.yaml
EOF

# 3. 跑脚本
bash t.sh

# 4. 清理
rm -rf t.yaml t1.yaml t.sh

典型场景：用模板生成 K8s 部署文件——一份 YAML 模板 + 多个环境变量 → 多份目标 manifest。

九、`pciutils`：网卡/PCI 设备排查

lspci 是排查网卡驱动问题最常用的工具。当一个新机器装完系统发现网卡识别不到，先看 lspci 找到芯片型号，再去厂商站下载驱动。

1
2
3
4
5


# 显示网卡
yum install -y pciutils # centos 安装（ubuntu 22.4+ 自带）
lspci -v
# 或
ethtool -i eno1

常见坑：Realtek r8168 网卡在 CentOS 7 默认驱动下表现不佳，需要从 Realtek 官网下载驱动源码手动编译。常见编译错误 ether_addr_copy 重定义、ndo_change_mtu 等都需要手动改源码适配内核版本。

十、`nohup` + 进程组：`2>&1` 的真意

2>&1 的写法非常常见但很多人不理解。这里给一个完整图：

文件描述符	含义	默认指向
`0`	stdin（键盘输入）	键盘
`1`	stdout（标准输出）	屏幕
`2`	stderr（错误输出）	屏幕

1
2
3
4
5
6
7
8


# 把 stderr 重定向到 stdout
command > out.log 2>&1

# 把 stdout 重定向到 file，stderr 仍走屏幕
command > out.log

# 把 stdout 和 stderr 都丢进黑洞
command > /dev/null 2>&1

nohup + & + > log 2>&1 是后台跑长任务的标准三件套。

十一、`systemctl` 资源限制

systemctl edit 是给已有 service 加 overlay 配置（不修改原 unit 文件）：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 编辑 sshd 的 overlay
systemctl edit sshd

[Service]
CPUQuota=20%
MemoryLimit=256M
Nice=-10
IOWeight=100

sudo systemctl daemon-reload
sudo systemctl restart sshd

字段	含义
`CPUQuota=20%`	限制最多用 20% 单核 CPU
`MemoryLimit=256M`	限制最大 256M 内存
`Nice=-10`	优先级（-20~19，越小越高）
`IOWeight=100`	IO 权重（1~10000）

十二、前置知识 / 下一步

想看 journalctl 完整用法 → man journalctl
想看 top 完整字段 → man top
想看 sed 完整正则语法 → man sed
想看 fio 性能压测 → 翻本系列《Linux 磁盘与 LVM 深度实践》
想看 systemctl 完整服务管理 → 翻本系列《Linux 远程登录与安全实践》中的 service 文件部分

十三、参考资源

GNU Coreutils：https://www.gnu.org/software/coreutils/manual/
man 各命令手册页
TLDP Advanced Bash Scripting Guide：https://tldp.org/LDP/abs/html/
Linux man-pages project：https://www.kernel.org/doc/man-pages/

2024 视角：10 年后这 20+ 工具的"现代化"姿势

2015 年这份速查在 2024 仍有 90% 适用——这正是 GNU coreutils 三剑客的"长青"价值。但在 2024 年的服务器上，有几处需要更新：

一、net-tools 真的可以删了

2015 年时 netstat 还在主流发行版，2024 年 RHEL 9 / Ubuntu 24.04 已彻底移除 net-tools。

ss（iproute2）已经完全替代：

1
2
3


ss -tulnp # 替代 netstat -tulnp
ss -s # 替代 netstat -s（统计）
ss -tin # TCP 连接详细信息（含拥塞窗口、重传）

ifconfig 替代品：

1
2


ip -br addr show # 简洁模式
ip -c addr show # 彩色输出

route 替代品：

1
2


ip route show
ip -6 route show # IPv6 路由

二、`htop` 仍是 `top` 首选替代

htop 3.x（2022+）已经支持鼠标操作、横向滚动、进程树折叠，2024 是事实标准。
btop（2021 推出）更激进：CPU/内存/磁盘/网络一屏 + 图形化 sparkline，颜值党首选。
glances 仍是 Web/API 化的最佳选择：可以 glances -w 启 Web 服务（默认 61208 端口），浏览器看监控。

三、`tmux` 3.x 的新特性

tmux 3.0（2021-04 重大版本）之后：
- status-line 支持字符串插值（#{...} 语法）
- popup 弹窗（display-popup -E "cmd"）
- mouse 模式改进

2024 推荐配置 ~/.tmux.conf：

1
2
3


set -g mouse on
set -g default-terminal "tmux-256color"
set -ag terminal-overrides ",xterm-256color:RGB"

四、systemd 资源控制的"现代写法"

2015 那篇给的 CPUQuota=20% 仍是有效写法，但 2024 更精细的有：

CPU 亲和性：
1 2

[Service] CPUAffinity=0-3

内存 + 交换空间硬限制：

1
2


MemoryMax=512M
MemorySwapMax=0 # 禁用 swap

IO 控制器（systemd 240+）：

1
2


IOReadBandwidthMax=/dev/sda 100M
IOWriteBandwidthMax=/dev/sda 50M

五、`journalctl` 仍是事实标准

但 2024 推荐结构化查询：

1
2
3
4


journalctl -u nginx --since "1 hour ago" --output=json | jq .
journalctl -u nginx -p err -n 50 -f # 跟踪错误
journalctl --vacuum-size=200M # 限制日志大小
journalctl --list-boots # 看启动历史

六、`fzf` 应该是 2024 必装

2015 年没提的"现代神器"——fzf（命令行模糊查找器）：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


# 装
apt install fzf # 或 brew install fzf

# 用
Ctrl-R # 模糊搜索历史命令
Ctrl-T # 模糊搜索文件
Alt-C # 模糊切换目录

# 管道
ps aux | fzf | awk '{print $2}' | xargs kill

fzf 让"在 1 万条历史命令里找刚才那条"变成 < 1 秒，是 2015 → 2024 提效最大的一颗"小宝石"。

Linux 磁盘与 LVM 深度实践：分区、PV/VG/LV、扩容缩容与 LVM Cache

Mon, 15 Dec 2014 00:00:00 +0800

一、为什么是 2014 年这一份

2014 年这个时间点很有意思：

LVM 早已是 Linux 标配（2.6 内核时代），企业级应用普及
SSD 正在替换 HDD，但 NVMe 还在路上（NVMe 1.0 是 2011 年，主流消费级 NVMe SSD 在 2014-2015 才铺开）
fio 2.x 是性能压测的事实标准（fio 3.x 在 2017 才发布）
软件 RAID 工具 mdadm 仍是单节点多盘管理的首选（硬件 RAID 控制器在企业级也仍有市场）

这一篇覆盖磁盘选型、IOPS 估算、fio 压测、LVM 全套操作、LVM Cache、mdadm RAID、Ubuntu 重装 VG 重名——一份"在生产环境用过"的工具书。

阅读建议：建议先通读目录定位场景，再回头看对应小节。LVM 部分是重点，几乎所有云厂商的 Linux 镜像底层都是 LVM。

二、磁盘速度与 IOPS 参考

2.1 接口速率参考

类型	速率峰值	备注
SATA 接口 SSD	560 MB/s	主流消费级 SATA SSD
M.2 SATA 总线 SSD	560 MB/s	形态不同但走 SATA 总线
M.2 NVMe 协议 SSD	3 GB/s 左右	2014 起步，2015-2016 主流化
5400 RPM 机械硬盘	100 MB/s	笔记本常见
7200 RPM 机械硬盘	90-190 MB/s	台式机/服务器常见

关于 NVMe 时间线：NVMe 1.0 标准 2011 年发布，2014-2015 年消费级 M.2 NVMe SSD 才逐步铺开。2014 年能见到 NVMe 已经很快了，但 3 GB/s 的速率对应的是 PCIe 3.0 x4 通道的 SSD。

查看磁盘转速：

1

hdparm -I /dev/sdb | grep Rotation

2.2 IOPS 估算

IOPS（Input/Output Operations Per Second）的简化公式：

1

IOPS = 1000 / (寻道时间 + 旋转延迟)

公式中忽略数据传输时间。机械硬盘的寻道时间通常 3-10 ms，旋转延迟 4-8 ms（按 7200 RPM 算半圈 4.17 ms），所以机械硬盘 IOPS 通常在 75-200 之间。SSD 因为没有寻道和旋转，IOPS 动辄上万。

常见设备的 IOPS 参考表（2014 数据）：

设备	类型	IOPS	接口	备注
7,200 RPM SATA HDD	机械	~75-100	SATA 3 Gbit/s	入门级服务器
10,000 RPM SATA HDD	机械	~125-150	SATA 3 Gbit/s	中端服务器
10,000 RPM SAS HDD	机械	~140	SAS	企业级
15,000 RPM SAS HDD	机械	~175-210	SAS	高端企业级（如金融交易）
Intel X25-M G2 (MLC)	SSD	~8,600	SATA 3 Gbit/s	2010 年代初消费级 SSD
Intel X25-E (SLC)	SSD	~5,000	SATA 3 Gbit/s	企业级 SLC SSD
OCZ Vertex 3	SSD	~60,000	SATA 6 Gbit/s	2011 年代旗舰消费级
Corsair Force GT	SSD	~85,000	SATA 6 Gbit/s	240GB 型号，4K 随机写

关于 IOPS 时间点：表中数据是 2010-2012 时代的硬件水平。2014 年消费级 SSD 的 4K 随机写已经普遍 30K-80K IOPS，到 2018 年 NVMe SSD 已经百万级。

三、fio 性能压测：生产环境最常用的工具

fio（Flexible I/O Tester）是 Linux 性能压测的事实标准，2010 由 Jens Axboe 发布，2014 已是 2.x 时代。

3.1 参数速查

参数	含义
`filename=/dev/sdb1`	测试目标盘/文件路径
`direct=1`	绕过 OS buffer（DirectIO），测试结果更真实
`rw=randwrite`	随机写；`randread` 随机读；`randrw` 随机混合；`read/write/rw` 顺序
`bs=4k`	单次 I/O 块大小
`bsrange=512-2048`	数据块大小范围（多对一，模拟混合场景）
`size=5G`	每个线程读写的数据量
`numjobs=1`	每个任务开的线程数
`name=job1`	任务名，重复无所谓；`-name=job1 -name=job2` 共享前面参数
`thread`	用 `pthread_create` 创建线程（vs `fork`）
`runtime=1000`	测试时长（秒），不写则跑完 5G 才停
`ioengine=libaio`	异步 I/O 引擎（Linux 本地异步 I/O）
`iodepth=16`	队列深度 16
`rwmixwrite=30`	混合读写时写占 30%
`group_reporting`	汇总每个进程的信息

3.2 常用测试点（6 类场景）

场景	组合
100% 随机读	`rw=randread`
100% 顺序读	`rw=read`
100% 顺序写	`rw=write`
100% 随机写	`rw=randwrite`
70% 顺序读 + 30% 顺序写	`rw=rw, rwmixread=70, rwmixwrite=30`
70% 随机读 + 30% 随机写	`rw=randrw, rwmixread=70, rwmixwrite=30`

3.3 完整命令模板

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34


# 安装
apt install -y fio # Debian/Ubuntu
yum install -y fio # CentOS/RHEL

# 60 秒快速读测试
cd /tmp
fio -ioengine=libaio -bs=4k -direct=1 -thread -rw=read \
 -filename=/dev/sda \
 -name="BS 4KB read test" \
 -iodepth=16 -runtime=60

# 本地盘随机写 IOPS
fio -direct=1 -iodepth=32 -rw=randwrite -ioengine=libaio -bs=4k \
 -numjobs=4 -time_based=1 -runtime=1000 -group_reporting \
 -filename=/dev/sda -name=test

# 本地盘随机读 IOPS
fio -direct=1 -iodepth=32 -rw=randread -ioengine=libaio -bs=4k \
 -numjobs=4 -time_based=1 -runtime=1000 -group_reporting \
 -filename=/dev/sda -name=test

# 本地盘顺序写吞吐量
fio -direct=1 -iodepth=128 -rw=write -ioengine=libaio -bs=128k \
 -numjobs=1 -time_based=1 -runtime=1000 -group_reporting \
 -filename=/dev/sda -name=test

# 本地盘顺序读吞吐量
fio -direct=1 -iodepth=128 -rw=read -ioengine=libaio -bs=128k \
 -numjobs=1 -time_based=1 -runtime=1000 -group_reporting \
 -filename=/dev/sda -name=test

# 随机混合读写（写 30%）
fio -name=iops -rw=randrw -rwmixwrite=30 -bs=4k -runtime=10 \
 -iodepth=1 -filename=/dev/sda -ioengine=libaio -direct=1

3.4 结果解读

1

read: IOPS=1091, BW=4366KiB/s (4471kB/s)(260MiB/60882msec)

关键指标：

字段	含义
`io`	总共执行了多少 M 的 I/O
`bw`	平均 I/O 带宽
`iops`	IOPS
`runt`	线程运行时间
`slat`	提交延迟（submission latency）
`clat`	完成延迟（completion latency）
`lat`	响应时间 = slat + clat
`cpu`	利用率
`IO depths`	队列深度分布
`IO submit / complete / issued`	提交/完成/发出的 I/O 数量
`ios / merge / ticks / util`	`iostat` 风格的汇总（最终 `Disk stats` 段）

关于队列深度：磁盘属于"慢速设备"，OS 会为每块盘分配一个队列用于缓冲 I/O 请求。加大队列深度 = 让硬盘持续工作、减少空闲时间。但队列深度太高会导致 clat 飙升（响应时间不可接受）。iodepth=16 是消费级 SSD 的常见甜点值。

四、LVM 完整实战

LVM（Logical Volume Manager）从 2.6 内核起就是 Linux 标配。它的核心思想是把"物理卷 → 卷组 → 逻辑卷"三层结构解耦，让扩容/缩容/跨盘迁移变成相对无痛的操作。

4.1 三个核心原则

原则一：逻辑卷不能分太多，卷组要留有余量——VG 相当于是个存储池，留 20-30% 空闲便于后续扩容。

原则二：扩容顺序是 PV → VG → LV → FS；缩容顺序相反，而且必须先卸载。

原则三：生产环境做 LVM 操作前必有备份。resize2fs 缩容时一旦写错大小，数据就没了。

4.2 创建场景：1 块 SSD + 1 块 HDD

假设要添加两块硬盘：

nvme0n2 —— 1 块 SSD（20G），准备做 nfs
sda —— 1 块机械盘（1T），准备做 data

完整步骤：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45


# 1. 查名称
fdisk -l

# 2. 分区
fdisk /dev/nvme0n2
# 命令序列：n, p, 回车, 回车, 回车, w, 回车
partprobe /dev/nvme0n2
mkfs.ext4 /dev/nvme0n2p1

# 3. 创建 PV（其实前面分区 + 格式化对 PV 来说可以省略）
pvcreate /dev/nvme0n2p1

# 4. 创建 VG
vgcreate vgssd /dev/nvme0n2p1

# 5. 创建 LV——满不了 20G
# 5119 PE × 4M PE = 20G；这里先用 10G，留扩容空间
lvcreate -L +10G -n lvssd vgssd

# 6. 格式化 LV
mkfs.ext4 /dev/vgssd/lvssd

# 7. 创建挂载目录
mkdir /nfs

# 8. 挂载 LV
mount /dev/vgssd/lvssd /nfs

# 9. 查看
df -h
# /dev/mapper/vgssd-lvssd 20G 24K 19G 1% /nfs

lsblk
# nvme0n2 259:3 0 20G 0 disk
# └─nvme0n2p1 259:5 0 20G 0 part
# └─vgssd-lvssd 253:0 0 20G 0 lvm /nfs

# 10. 永久挂载
echo '/dev/vgssd/lvssd /nfs ext4 defaults 0 0' | tee -a /etc/fstab
mount -a

# 11. 测一下速度
hdparm -tT --direct /dev/mapper/vgssd-lvssd
# Timing O_DIRECT cached reads: 5662 MB in 2.00 seconds = 2831.16 MB/sec
# Timing O_DIRECT disk reads: 20476 MB in 1.93 seconds = 10621.64 MB/sec

4.3 扩容：原盘扩容 + 新增盘加入 VG

4.3.1 原盘扩容（虚拟机里把磁盘从 20G 扩到 40G）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19


lsblk
# nvme0n2 259:3 0 40G 0 disk
# └─nvme0n2p1 259:4 0 20G 0 part
# └─vgssd-lvssd 253:0 0 20G 0 lvm /nfs

# 显示 40G，但 LV 只用了 20G
pvs -a -o +devices
# PV VG Fmt Attr PSize PFree Devices
# /dev/nvme0n1 --- 0 0
# /dev/nvme0n1p2 --- 0 0
# /dev/nvme0n2 --- 0 0
# /dev/nvme0n2p1 vgssd lvm2 a-- <40.00g <30.00g /dev/nvme0n2p1(0)

# 关键：先删分区再重建（fdisk 操作）
fdisk /dev/nvme0n2
# 命令序列：d（删）, n（建）, p（主分区）, ... w（保存）

# PV 重置以识别新大小
pvresize /dev/nvme0n2p1

4.3.2 新增盘加入 VG

1
2
3
4
5
6
7
8


lsblk
# nvme0n2 259:3 0 40G 0 disk
# └─nvme0n2p1 259:4 0 40G 0 part
# └─vgssd-lvssd 253:0 0 40G 0 lvm /nfs
# nvme0n3 259:5 0 20G 0 disk ← 新增

pvcreate /dev/nvme0n3
vgextend vgssd /dev/nvme0n3

4.3.3 LV 扩容

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 扩容 LV（增加 5G）
lvextend -L +5G /dev/vgssd/lvssd

# 刷新 LV（ext4 用 resize2fs，xfs 用 xfs_growfs）
resize2fs /dev/vgssd/lvssd

# 一条命令搞定（-r 自动调用 resize2fs）
lvextend -L +5G -r /dev/vgssd/lvssd

# 所有空闲全分配（不推荐，没扩容空间了）
lvextend -l +100%FREE -r /dev/vgssd/lvssd

4.4 缩容：从 15G 缩到 10G

警告：缩容有数据丢失风险，必须先备份！缩容顺序与扩容相反，且必须先卸载。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30


# 1. 先卸载
umount /dev/vgssd/lvssd

# 2. 检查文件
e2fsck -f /dev/vgssd/lvssd
# e2fsck 1.46.5 (30-Dec-2021)
# Pass 1: Checking inodes, blocks, and sizes
# Pass 2: Checking directory structure
# Pass 3: Checking directory connectivity
# Pass 4: Checking reference counts
# Pass 5: Checking group summary information
# /dev/vgssd/lvssd: 308/983040 files (0.0% non-contiguous), 90144/3932160 blocks

# 3. 更新文件系统大小
resize2fs /dev/vgssd/lvssd 10G
# resize2fs 1.46.5 (30-Dec-2021)
# Resizing the filesystem on /dev/vgssd/lvssd to 2621440 (4k) blocks.

# 4. 重置 LV 大小
lvresize -L 10G /dev/vgssd/lvssd
# WARNING: Reducing active logical volume to 10.00 GiB.
# THIS MAY DESTROY YOUR DATA (filesystem etc.)
# Do you really want to reduce vgssd/lvssd? [y/n]: y

# 5. 重新挂载
mount /dev/vgssd/lvssd /nfs

# 6. 验证
df -h
# /dev/mapper/vgssd-lvssd 9.8G 7.1M 9.3G 1% /nfs

4.5 移除 PV：把数据从一个盘迁到另一个盘

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23


# 先查看 PV
pvdisplay
# --- Physical volume ---
# PV Name /dev/nvme0n2p1
# VG Name vgssd
# PV Size <40.00 GiB / not usable 2.00 MiB
# PE Size 4.00 MiB
# Total PE 10239
# Free PE 7679
# Allocated PE 2560

# /dev/nvme0n2p1 分配了 2560 个 PE，要把 PE 转移到 /dev/nvme0n3
pvmove /dev/nvme0n2p1 /dev/nvme0n3
# /dev/nvme0n2p1: Moved: 2.38%
# /dev/nvme0n2p1: Moved: 100.00%

# 从 VG 移除 PV
vgreduce vgssd /dev/nvme0n2p1
# Removed "/dev/nvme0n2p1" from volume group "vgssd"

# 删除 PV
pvremove /dev/nvme0n2p1
# Labels on physical volume "/dev/nvme0n2p1" successfully wiped.

4.6 删除整套 LVM

1
2
3
4
5
6


# 顺序：LV → VG → PV
umount /dev/vgssd/lvssd
lvremove /dev/vgssd/lvssd
vgremove /dev/vgssd
pvremove /dev/nvme0n2p1
pvremove /dev/nvme0n3

五、LVM Cache：用 SSD 给 HDD 加速

LVM Cache 是 LVM 内置的缓存功能，允许将高速缓存设备（如 SSD）与普通硬盘组合使用，以提高 I/O 性能。常见替代方案有 DM-cache、bcache、flashCache、EnhanceIO。

5.1 三个组件

data —— 存储数据
cache —— 缓存数据
meta —— 缓存元数据（size 需大于 cache 的 1/1000）

5.2 完整创建流程

假设有一块机械盘 sda + 一块 SSD nvme0n1：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22


# 1. 把两块盘加入同一个 VG
pvcreate /dev/sda /dev/nvme0n1p1
vgcreate vg /dev/sda /dev/nvme0n1p1

# 2. 机械盘上创建 data LV
lvcreate -n data -L 200G vg /dev/sda

# 3. SSD 上创建 cache + meta LV
lvcreate -n cache -L 30G vg /dev/nvme0n1p1
lvcreate -n meta -L 6G vg /dev/nvme0n1p1

# 4. 创建缓存池，把 data 卷加入
# cachemode 默认 writethrough；writeback 性能好但极端情况会丢数据
lvconvert --type cache-pool --poolmetadata vg/meta vg/cache
lvconvert --type cache --cachepool vg/cache --cachemode writeback vg/data

# 5. 格式化 + 挂载
mkfs.ext4 /dev/vg/data
mkdir /data
mount /dev/vg/data /data
echo '/dev/vg/data /data ext4 defaults 0 0' | tee -a /etc/fstab
mount -a

cachemode 选择：writeback（默认推荐的"性能模式"）写入缓存就 ack，掉电可能丢数据；writethrough（默认）数据同时写缓存和后端，安全性高但性能略低。生产环境视业务重要程度选。

六、mdadm 软件 RAID

mdadm 是 Linux 软件 RAID 的管理工具，2014 已是 3.x 时代。

6.1 五种常用 RAID 等级

等级	至少几块盘	特性	适用场景
RAID 0	2	条带，无冗余，速度翻倍	临时数据、缓存
RAID 1	2	镜像，可容忍 1 块盘坏	系统盘、关键数据
RAID 5	3	一个校验盘，可容忍 1 块盘坏	容量与冗余平衡
RAID 6	4	两个校验盘，可容忍 2 块盘坏	大容量存储
RAID 10	4	RAID 1 + RAID 0，先镜像再条带	数据库首选

企业数据库场景：几乎都选 RAID 10——4 块起步、性能翻倍、容错等于 RAID 1。

6.2 创建 RAID 10 完整流程

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31


# 1. 4 块盘分区（每块都要分一个主分区 + 标为 Linux RAID 类型）
fdisk /dev/sdb # n, p, 1, 回车×2, t, fd, p, w
fdisk /dev/sdc # 同上
fdisk /dev/sdd # 同上
fdisk /dev/sde # 同上

# 2. 检查是否有遗留 RAID 信息
mdadm -E /dev/sd[b-e]
mdadm -E /dev/sd[b-e]1

# 3. 创建 RAID 10
mdadm --create /dev/md0 --level=10 --raid-devices=4 \
 /dev/sdb1 /dev/sdc1 /dev/sdd1 /dev/sde1

# 4. 查看同步进度
cat /proc/mdstat

# 5. 查看详细信息
mdadm --detail /dev/md0

# 6. 创建文件系统 + 挂载
mkfs.ext4 /dev/md0
mkdir /md
mount /dev/md0 /md
echo '/dev/md0 /md ext4 defaults 0 0' | tee -a /etc/fstab
mount -av

# 7. 保存 RAID 配置（默认没有）
mdadm --detail --scan --verbose >> /etc/mdadm.conf
# 或者
mdadm -Dsv > /etc/mdadm.conf

6.3 添加备用盘（spare）

1
2
3


mdadm --create /dev/md0 --level=10 --raid-devices=4 \
 /dev/sdb1 /dev/sdc1 /dev/sdd1 /dev/sde1 \
 --spare-devices=1 /dev/sdf1

6.4 扩容（加一块盘）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 分区
fdisk /dev/sdf
# n, 1, t, fd, p, w

# 检查（没有 super-blocks 才能直接 add）
mdadm -E /dev/sdf1

# 添加 + 扩展
mdadm --manage /dev/md0 --add /dev/sdf1
mdadm --grow --raid-devices=5 /dev/md0
mdadm --detail /dev/md0

注意：大容量磁盘扩展同步可能耗时数小时。

6.5 替换坏盘

1
2
3


# 标记失效 + 移除
mdadm --fail /dev/md0 /dev/sdc1
mdadm --remove /dev/md0 /dev/sdc1

6.6 删除 RAID

1
2
3
4
5


umount /raid0
mdadm -Ss # 停止 RAID 设备
rm -rf /etc/mdadm.conf # 删除配置
mdadm --zero-superblock /dev/sdb # 擦除 RAID 标识
mdadm --zero-superblock /dev/sdc

七、Ubuntu 重装系统后的 LVM VG 重名问题

场景：旧系统盘和新系统盘都用了默认 VG 名 ubuntu-vg，重装后 vgscan 会报重名错误。

7.1 查 VG 冲突

1
2
3
4
5
6
7


vgscan
# WARNING: VG name ubuntu-vg is used by VGs RGmXzb-... and oFmdxd-...
# Fix duplicate VG names with vgrename uuid, a device filter, or system IDs.
# Found volume group "ubuntu-vg" using metadata type lvm2

vgdisplay
# 两个 ubuntu-vg 都有，但 UUID 不同

7.2 通过容量/UUID 区分

1
2
3
4
5
6
7


lsblk
# sda 8:0 0 1000G 0 disk
# ├─sda1 8:1 0 1G 0 part /boot/efi
# ├─sda2 8:2 0 2G 0 part /boot
# └─sda3 8:3 0 996.9G 0 part
# └─ubuntu--vg-ubuntu--lv 253:0 0 100G 0 lvm / ← 新系统
# sdb 8:16 0 1000G 0 disk ← 旧系统盘

通过容量或挂载点判断哪个是旧盘。

7.3 重命名 VG

1
2


vgrename <旧盘的UUID> vg_1
# Volume group "RGmXzb-..." successfully renamed to "vg_1"

7.4 重命名 LV

1

lvrename /dev/vg_1/ubuntu-lv lv_1

7.5 扩展新系统盘

1
2
3


# 挂载在根目录的话，扩了之后就缩不了了
lvextend -l +100%FREE /dev/ubuntu-vg/ubuntu-lv
resize2fs /dev/ubuntu-vg/ubuntu-lv

7.6 挂载旧 LV

1
2


mkdir -p /data
mount /dev/vg_1/lv_1 /data

八、磁盘性能监控基础

生产环境出问题时的"5 把刀"（dstat / iotop / pidstat / vmstat / top 的组合）：

工具	用途
`top`	监控整体服务器：CPU、内存、磁盘、网络综合
`dstat -d`	查看当前磁盘每秒的读/写量（单位 K）
`dstat -r`	查看当前磁盘随机的读/写 IOPS
`dstat -n`	查看网卡每秒接收/发送量（单位 K）
`pidstat`	统计各进程的磁盘 I/O（也可监控 CPU 和内存）
`iotop`	类似 top，但只看 I/O 相关的进程
`vmstat`	监控 I/O 活跃的进程、内存、CPU

1
2
3
4
5
6
7
8


# 看磁盘读写流量
dstat -d

# 看随机 IOPS
dstat -r

# 看每个进程的磁盘 I/O
pidstat -d 1

九、前置知识 / 下一步

想了解软件 RAID 控制器 vs 硬件 RAID 控制器 vs ZFS 的对比 → 翻独立文章
想了解文件系统选型（ext4 / xfs / btrfs / zfs）→ 翻独立文章
想了解生产环境 LVM 监控（pvs / lvs / dmsetup） → 翻本系列《Linux 监控与系统性能工具》

十、参考资源

fio 官方文档：https://fio.readthedocs.io/
Linux LVM HOWTO：https://tldp.org/HOWTO/LVM-HOWTO/
mdadm(8) man page（man mdadm）
Ubuntu LVM Guide：https://help.ubuntu.com/community/UbuntuLVM
Red Hat Enterprise Linux 7 LVM Administration：https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/logical_volume_manager_administration/

2024 视角：十年间磁盘技术的最大变化

2014 这套"fio + LVM + mdadm"组合在 2024 仍然管用——这是 Linux 存储栈的"长青"层。但 10 年间硬件/生态发生了三件大事：

一、NVMe 从"新事物"变成"主流"

2014 年 NVMe SSD 还是"高端服务器配置"（单价 ¥5000+）。
2024 年消费级 M.2 NVMe 1TB SSD 已 ¥400-500，PCIe 4.0 速率 7 GB/s，PCIe 5.0 速率 12+ GB/s 成为新机主流。

fio 测试目标从 /dev/sda（机械）几乎全切到 /dev/nvme0n1：

1
2
3
4


# 顺序读
fio --name=seq-read --ioengine=libaio --direct=1 \
 --filename=/dev/nvme0n1 --bs=128k --size=10G \
 --rw=read --iodepth=128 --runtime=30 --time_based

ZNS（Zoned Namespaces） SSD（2023+ 量产）是下一代 NVMe 革命——按"区域"写入，类似 SMR HDD 但更激进。

二、文件系统的"现代选择"

2014 时代服务器主流是 ext4。2024 的选择更细分：

场景	2014 选	2024 选
通用服务器	ext4	xfs（默认）
大文件 / 视频	xfs	xfs / btrfs
快照 / 容器存储	无	btrfs（Fedora 33+ 默认）
高完整性	ext4 + dm-crypt	ext4 + LUKS2 / ZFS
NAS / 备份	ext4	ZFS / btrfs

xfs 是 RHEL 9 / Rocky 9 / AlmaLinux 9 的默认文件系统——本文 mkfs.xfs 仍是正确选择。
btrfs 在 Fedora / openSUSE 已经默认（ext4 在 RHEL 8 仍是默认，但 9 已经过渡到 xfs）。

三、RAID 硬件层变化

2014 时代企业级首选硬件 RAID 控制器（PERC H730 / LSI 9300 系列）。
2024 年云厂商几乎都走软件 RAID（mdadm 或 mdadm + dm-crypt）——硬件 RAID 控制器在云上不可见。
现代替代：
- ZFS mirror（mirror 模式 RAID1，snapshot 能力强）
- Ceph（分布式存储，块 / 对象 / 文件一站式）
- 云盘（直接用 EBS / 阿里云 ESSD，不用自己搭）

四、LVM 的"补强"特性

LVM 2.03+ 在 2024 加了几个值得用上的新功能：

lvconvert --type thin：thin-provisioned LV，超分用、用多少占多少。
lvm 与 vdo（Virtual Data Optimizer）集成：去重 + 压缩，RHEL 8/9 默认带。

LVM RAID（替代 mdadm）：

1

lvcreate --type raid1 -L 100G -n data vg /dev/sda1 /dev/sdb1

自动激活 + 锁：lvmlockd 支持 SAN 共享存储下的 LVM 集群锁。

五、`fio` 3.x 的现代参数

2024 装的 fio 通常是 3.36+（最新已到 3.38），新增：
- --output-format=json：JSON 输出（适合 CI/ELK 收集）
- --eta=always：预估剩余时间
- --thread=1：分离统计线程
iodepth 调优：NVMe SSD 队列深度 32-64 甜点，HDD 4-8。
新的 ioengine：
- io_uring（Linux 5.1+，比 libaio 更低延迟）
1

fio --ioengine=io_uring --iodepth=64 --direct=1 ...

宝塔与 1Panel：两款 Linux 服务器管理面板的 Docker 部署实战

Mon, 15 Dec 2014 00:00:00 +0800

Linux 服务器的"装系统、装环境、装服务"过去全靠命令行——装一个 Nginx 要写一长串 apt / yum 指令，配置 SSL 还要碰 openssl 的细节，对刚入门的人来说门槛不低。“服务器管理面板"就是为了把这套流程做成 Web 化、可视化的产品：宝塔、1Panel、AppNode、URLOS、aaPanel 都是这一脉的代表。这篇文章聚焦两款最常见的产品——宝塔（pch18/baota） 和 moelin/1Panel——把它们的 Docker 部署、目录映射、默认凭据和排错一次性说清楚。

阅读对象：刚接触 Linux、想把日常运维（站点、数据库、SSL、计划任务）从命令行解放出来的同学；以及需要在容器里跑管理面板的 CI/CD / 演示环境搭建者。 覆盖范围：宝塔（CentOS/Debian 一键脚本 + pch18/baota 镜像）的安装与目录映射；1Panel 的 docker run / docker-compose 启动、目录约定、默认账户与首次进入。

一、为什么需要"服务器管理面板”

痛点	命令行解法	面板解法
装 Nginx/PHP/MySQL/Redis 一套 LNMP	多个 `apt install` + 手动改配置	选 LNP/MPN 模板，一键安装
给站点申请/部署 SSL 证书	手写 `acme.sh` cron + nginx 站点配置	域名 → 申请 → 自动续期
看磁盘/CPU/网络	`df -h` / `top` / `vmstat` 拼图	仪表盘一屏看完
多用户/多站点权限隔离	nginx vhost + sudo 配置	图形化"网站 → 权限"
容器化部署	`docker run` / `docker compose`	“应用商店” 里点一下

When to use：单台/几台机器、想快速搞起一套 Web 环境、不想折腾配置时；或团队需要让非运维同学也能上手时。Kubernetes 集群级别仍然不靠面板，而是 Helm + GitOps。

二、宝塔面板（pch18/baota）

宝塔是国产老牌面板，最早（2014 年）发布的是一键安装脚本，覆盖 CentOS/Debian/Ubuntu。后来社区出了 pch18/baota 镜像，让它可以跑在 Docker 里——非常适合演示、CI、临时环境。

2.1 原生安装（一键脚本）

1
2
3
4
5


# CentOS
yum install -y wget && wget -O install.sh https://download.bt.cn/install/install_6.0.sh && sh install.sh ed8484bec

# Debian / Ubuntu
wget -O install.sh https://download.bt.cn/install/install-ubuntu_6.0.sh && sudo bash install.sh ed8484bec

安装完后会输出管理地址（通常是 http://<IP>:8888/<随机入口>）和默认账号。

2.2 Docker 部署 pch18/baota

核心思路：把 /www 目录从容器里拷出来挂到宿主机，这样重启/升级容器不会丢数据。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


# 第一次启动（host 网络，端口全开）
docker run -tid --name baota --restart always \
 -p 8002:80 -p 8043:443 -p 8808:8888 -p 808:888 \
 --privileged=true \
 --shm-size=1g \
 pch18/baota:latest

# 把容器里的 /www 拷出来
docker cp baota:/www /home/docker/baota

# 关掉临时容器
docker rm -f baota

接下来用持久化的方式重新启动（推荐）：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19


mkdir -p /home/docker/baota/www/wwwroot

# host 网络（推荐：避免端口转发的性能损失）
docker run -tid --name baota --restart always \
 --net=host \
 --privileged=true \
 --shm-size=1g \
 -v /home/docker/baota/www:/www \
 -v /home/docker/baota/www/wwwroot:/www/wwwroot \
 pch18/baota:latest

# bridge 网络（如需端口隔离）
docker run -tid --name baota --restart always \
 -p 8002:80 -p 8043:443 -p 8808:8888 -p 808:888 \
 --privileged=true \
 --shm-size=1g \
 -v /home/docker/baota/www:/www \
 -v /home/docker/baota/www/wwwroot:/www/wwwroot \
 pch18/baota:latest

端口说明：80:80（HTTP）、443:443（HTTPS）、8888:8888（面板）、888（phpMyAdmin）。--shm-size=1g 给 PHP 足够的共享内存，--privileged=true 让面板能在容器里调 systemd / mount 等特权操作。

访问入口：

1

http://<宿主机IP>:8808/login

默认账号 username/password 会在控制台输出，登录后必须改密码。

2.3 进入容器操作

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18


docker logs -f --tail=100 baota
docker exec -it baota bash

# 容器内的命令行
[root@<container> wwwroot]# bt
===============宝塔面板命令行==================
(1) 重启面板服务 (8) 改面板端口
(2) 停止面板服务 (9) 清除面板缓存
(3) 启动面板服务 (10) 清除登录限制
(4) 重载面板服务 (11) 取消入口限制
(5) 修改面板密码 (12) 取消域名绑定限制
(6) 修改面板用户名 (13) 取消IP访问限制
(7) 强制修改MySQL密码 (14) 查看面板默认信息
(22) 显示面板错误日志 (15) 清理系统垃圾
(23) 关闭BasicAuth认证 (16) 修复面板
(24) 关闭谷歌认证 (17) 设置日志切割是否压缩
(25) 设置是否保存文件历史副本 (18) 设置是否自动备份面板
(0) 取消

2.4 常见问题

Q1：lsattr: Operation not supported While reading flags on python

容器化宝塔有时会触发这个错误（共享卷的属性查询在内核层不支持）。解决：

1
2


rm -rf /www/server/panel/pyenv
curl http://download.bt.cn/install/update_panel.sh | bash

Q2：Error: BT-Panel service startup failed.

通常是端口被占用或权限问题。重新跑一次安装脚本即可。

三、1Panel（moelin/1Panel）

1Panel 是 2022 年开源的新一代面板（飞致云出品），定位"现代化、开源、安全"，界面更现代，自带"应用商店"。Docker 化的 moelin/1Panel 镜像让体验完整保留。

3.1 docker run 启动

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


docker run -d \
 --name 1panel \
 --restart always \
 -p 10087:10086 \
 -v /var/run/docker.sock:/var/run/docker.sock \
 -v /var/lib/docker/volumes:/var/lib/docker/volumes \
 -v /opt:/opt \
 -v /root:/root \
 -v /data:/data \
 -e TZ=Asia/Shanghai \
 moelin/1panel:latest

3.2 docker-compose 启动

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16


version: "3"
services:
 1panel:
 container_name: 1panel
 restart: always
 network_mode: "host"
 volumes:
 - /var/run/docker.sock:/var/run/docker.sock
 - /var/lib/docker/volumes:/var/lib/docker/volumes
 - /opt:/opt
 - /root:/root
 environment:
 - TZ=Asia/Shanghai
 image: moelin/1panel:latest
 labels:
 createdBy: "Apps"

3.3 首次进入

1
2
3
4
5
6


docker exec -it 1panel bash
root@<host>:/$ 1pctl user-info
面板地址: http://$LOCAL_IP:10086/entrance
面板用户: 1panel
面板密码: <随机生成>
提示：修改密码可执行命令：1pctl update password

访问 http://<宿主机IP>:10086/entrance（不是 10087，是容器内 10086 端口暴露给宿主的入口）。

3.4 关键约定

项	值	备注
默认端口	10086	通过 `-p 10087:10086` 映射
默认账号	`1panel`
默认密码	`1panel_password`	第一次安装随机生成
默认入口	`entrance`	即 URL 末尾的 `entrance`

3.5 注意事项

容器化部署的 1Panel 升级：不要点 UI 里的"立即更新"，应该拉新镜像 → 删除旧容器 → 用同样的目录映射重新部署。容器内 systemd 不完整，UI 升级路径会卡住。
不可调整的挂载：/var/run/docker.sock（必须挂，否则 1Panel 不能管理宿主机上的容器）。
可调整的挂载：/opt（应用数据）、/root（可选）、/var/lib/docker/volumes（Docker 卷）、TZ=Asia/Shanghai（时区）。
systemd 限制：因为容器内 systemd 不完整，部分面板功能（开机自启、服务守护）可能表现异常，复杂场景仍建议在裸机上跑 1Panel。

四、宝塔 vs 1Panel：怎么选

维度	宝塔	1Panel
起源	2014 国产老牌	2022 飞致云开源
资源占用	较低（约 200MB）	较高（Go 后端 + 前端）
Docker 支持	较弱（“Docker 容器"模块粗糙）	原生设计（“应用商店"直接装 WordPress / Halo / Halo 2）
应用商店	第三方脚本合集	内置官方市场（MySQL、Redis、Nginx、PHP 一键装）
主机防火墙	无图形化（要装 iptables 插件）	内置
Web 终端	宝塔 SSH 终端	内置
HTTPS 证书	一键申请 + 自动续期	一键申请 + 自动续期
备份	面板级 + 站点级	面板级 + 计划任务 cron
适合	老项目、LAMP/LNMP 站群、内存小的机器	新项目、容器化部署、想要现代 UI

经验法则：

内存 ≥ 4GB + 想"装 WordPress / 各类应用” → 1Panel
内存 ≤ 2GB + 老项目维护 + 习惯原生命令 → 宝塔
临时演示 / CI 环境 → pch18/baota 镜像（不用装扩展）

五、扩展阅读

宝塔官方：bt.cn
1Panel 官方：1panel.cn
pch18/baota 镜像：hub.docker.com/r/pch18/baota
moelin/1panel 镜像：hub.docker.com/r/moelin/1panel

Linux 基础命令速查：查版本、查公网 IP、查 CPU、SSH 登录

Mon, 15 Sep 2014 00:00:00 +0800

一、为什么是 2014 年这一份

我第一次写"Linux 速查"是 2006 年，那会儿查版本靠 /etc/redhat-release 和 /etc/debian_version 两个发行版自带的小文本，netstat -an 几乎是网络排查的唯一选项。8 年后情况变了：systemd 在 RHEL/CentOS 7（2014-07 发布）上成为默认 init，发行版统一把元数据塞进了 /etc/os-release；iproute2 包的 ss 也开始慢慢取代 net-tools 的 netstat；公网 IP 查询有了 cip.cc、ifconfig.me、ipinfo.io 等多个选择。

这一篇只覆盖 4 类最高频的命令——查版本、查公网 IP、查 CPU、SSH 登录。其他类别（进程、磁盘、网络工具深度用法）单独成文。

阅读建议：本文每个命令块都"可独立复制运行"；先收藏，遇到具体场景再回头查对应小节。

二、查看系统版本：`/etc/os-release`

/etc/os-release 是 systemd 在 2012 年引入的统一标准文件——所有遵循规范的发行版（CentOS 7、Debian 7+、Ubuntu 12.04+、Fedora 19+、Arch 等）都把元数据写在这里。不再需要 cat /etc/redhat-release 后还要 cat /etc/debian_version 各查一次。

1

cat /etc/os-release

CentOS 输出形如：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


NAME="CentOS Linux"
VERSION="7.0 (Core)"
ID="centos"
ID_LIKE="rhel fedora"
VERSION_ID="7.0"
PRETTY_NAME="CentOS Linux 7 (Core)"
ANSI_COLOR="0;31"
CPE_NAME="cpe:/o:centos:centos:7"
HOME_URL="https://www.centos.org/"
BUG_REPORT_URL="https://bugs.centos.org/"

Debian 输出形如：

1
2
3
4
5
6


PRETTY_NAME="Debian GNU/Linux 7 (wheezy)"
NAME="Debian GNU/Linux"
VERSION_ID="7"
ID=debian
ANSI_COLOR="1;31"
HOME_URL="http://www.debian.org/"

关于截图：原始笔记里附了 CentOS / Debian 的 os-release 截图对照，本文中以等价文本输出还原。如需在自己机器上对比，直接 cat /etc/os-release 即可。

几个关键字段：

字段	含义	用途
`NAME`	发行版大写名	人类阅读
`ID`	发行版小写标识	脚本判断（shell 中用 `. /etc/os-release && echo $ID`）
`VERSION_ID`	主版本号	脚本判断主版本（适合做 `>=7` 判定）
`PRETTY_NAME`	完整描述名	报错时贴这个最清晰
`ID_LIKE`	父系/兼容发行版	知道"这机器能装哪边的包"

在脚本里这样用（避免 grep /etc/redhat-release 这种字符串匹配）：

1
2
3
4


. /etc/os-release
if [ "$ID" = "centos" ] && [ "${VERSION_ID%%.*}" -ge 7 ]; then
 echo "CentOS 7+，可以放心用 systemctl 管理服务"
fi

三、查公网 IP：`curl cip.cc`

临时想知道"出口 IP 是什么、归属哪里、用什么运营商"，最快一条：

1

curl cip.cc

输出形如：

1
2
3
4
5
6


IP : 203.0.113.45
地址 : 中国 北京 北京
运营商 : 联通
数据二 : 北京市 | 联通
数据三 : 中国北京北京 | 联通
URL : http://cip.cc

返回 IP、归属地、运营商三件套，人眼可读。这是一台第三方 HTTP 服务（cip.cc），不是机器本地命令。

同类工具（适合做容灾备份——一个挂了好切另一个）：

域名	特点
`cip.cc`	国内访问快，中文输出（本文首选）
`ifconfig.me`	海外老牌，2011 上线，英文输出，纯文本
`ipinfo.io`	JSON 输出，适合脚本里 `jq` 解析
`checkip.dyndns.org`	老牌 dyndns 提供，HTML 输出要 grep
`api.ipify.org`	极简，只返 IP 一个字段

网络受限时的备用姿势：

1
2
3
4
5
6
7


# 极简（只返 IP）
curl -s https://api.ipify.org
# 等价于
curl -s https://ifconfig.me/ip

# JSON（适合脚本）
curl -s https://ipinfo.io/json | jq .ip

注意：如果机器完全没出网（数据库/内网工具机常见），所有这些命令都会超时；这时要看"公网 IP"得去网关/路由器/云厂商控制台查。

四、查 CPU 信息

服务器出问题时，“先看硬件"比"看软件"效率高——CPU 都不知道几核几线程，调优就是瞎调。

4.1 一组核心命令

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15


# 物理 CPU 个数（几颗 CPU）
cat /proc/cpuinfo | grep "physical id" | sort | uniq | wc -l

# 每颗 CPU 的核心数
cat /proc/cpuinfo | grep "cpu cores" | uniq

# 逻辑 CPU 个数（线程数）
grep 'processor' /proc/cpuinfo | sort -u | wc -l
cat /proc/cpuinfo | grep "processor" | wc -l

# CPU 型号
cat /proc/cpuinfo | grep name | cut -f2 -d: | uniq -c

# 通过 dmidecode 查详细型号
dmidecode -s processor-version

4.2 几个数字怎么对

名称	命令	关系
物理 CPU 颗数	`physical id` 去重计数	一颗 CPU 可能有 4/6/8/… 核
每颗核心数	`cpu cores`（uniq 一行）	Intel 一般物理核 = 核心数；AMD 早期有"模块"概念
逻辑 CPU 数	`processor` 行数	开了超线程后 = 核心数 × 2

典型云厂商机器输出参考（某云 ECS 通用型）：

1 颗物理 CPU，2 核心，开了超线程 → 4 个逻辑 CPU
命令输出：physical id = 1，cpu cores = 2，processor = 0,1,2,3

为什么是 /proc/cpuinfo？ 这是 Linux 内核导出的伪文件系统，硬件信息在启动时由内核从 ACPI/BIOS 读到内存里再吐出来——不需要装任何工具。dmidecode 走的是另一条路（直接读 DMI/SMBIOS 表），能拿到型号/主频等详细信息，但需要 root 权限。

五、SSH 远程登录与排错

telnet 是 TCP 层面的"能不能通"测试，ssh -v 是协议层面的"为什么连不上"诊断——两条结合用最稳。

1
2
3
4
5


# 1. 先用 telnet 测 TCP 层面能不能到达
telnet internal.example.com 81

# 2. 再用 ssh -v 看 SSH 协议细节（-v = verbose）
ssh -v -p 81 admin@internal.example.com

5.1 两条命令的分工

命令	测什么	失败时典型表现
`telnet host port`	TCP 三次握手	`Connection refused`（端口没开/服务没起） `Connection timed out`（防火墙拦了）
`ssh -v -p port user@host`	SSH 协议协商 + 认证	卡在 `debug1: SSH2_MSG_KEXINIT sent`（协议不匹配） `Permission denied (publickey)`（认证失败）

诊断顺序：先 telnet 测 TCP 通不通，不通就别往下走；通了再 ssh -v 看协议和认证。

5.2 SSH 连不上时的 3 个最常见原因

防火墙/安全组没放端口（最常见）——telnet 就超时
sshd 没监听该端口——/etc/ssh/sshd_config 里 Port 22 没改、或改了没重启
公钥没传对位置——~/.ssh/authorized_keys 权限不对（应该是 600，目录是 700）

5.3 `-v` 看到的关键日志

1
2
3
4
5
6
7
8


debug1: Connecting to internal.example.com [10.x.x.x] port 81.
debug1: Connection established.
debug1: identity file /root/.ssh/id_rsa type 1
debug1: SSH2_MSG_KEXINIT sent # 协议交换
debug1: SSH2_MSG_KEXINIT received
debug1: Authentications that can continue: publickey,password
debug1: Next authentication method: publickey
debug1: Authentication succeeded (publickey).

中间任意一行卡住/报错都是诊断线索。Authentications that can continue 这一行最关键——列出了服务端愿意接受的认证方式。

六、4 类命令的速查表

类别	命令	用途
系统版本	`cat /etc/os-release`	查发行版与版本号（systemd 时代统一标准）
公网 IP	`curl cip.cc`	查出口 IP + 归属地 + 运营商
CPU 信息	`cat /proc/cpuinfo \| grep "..."`	物理/逻辑 CPU 数、核心数、型号
SSH 登录	`ssh -v -p 81 user@host`	远程登录并 verbose 排错

七、参考与延伸

内部笔记《通用命令》（2014-09-15 节选）
深入进程管理：《Linux 进程与服务管理》
服务器应急排查：《Linux 性能调试与应急排查》
官方规范：systemd /etc/os-release 手册
同类公网 IP 查询工具：ifconfig.me · ipinfo.io · api.ipify.org

2024 视角：十年后这 4 条命令的现状

站在 2024 年回望这 4 条命令，部分用法已被新工具替代或默认配置已经变了：

一、查系统版本：`/etc/os-release` 仍是标准

CentOS 7 在 2024-06-30 进入 ELS 阶段（仅安全更新，无功能更新）。/etc/os-release 仍可读，但 VERSION_ID="7" 后已经没有新的 minor 版本。
CentOS 8 已经 2021-12-31 EOL，mirror.centos.org 失效；想继续读 os-release 内容正常，但 yum update 必须先换 vault.centos.org。
新项目默认：Rocky Linux 9.x / AlmaLinux 9.x / Ubuntu 22.04 / 24.04。/etc/os-release 的 ID=rocky / ID=almalinux / ID=ubuntu 是判定主版本的最稳字段。

脚本里更现代的判定方式：

1
2
3
4
5
6


. /etc/os-release
case "$ID" in
 rocky|almalinux|centos|rhel) echo "RHEL 系，dnf 管理" ;;
 ubuntu|debian) echo "Debian 系，apt 管理" ;;
 *) echo "其他：$ID $VERSION_ID" ;;
esac

二、查公网 IP：HTTPS 是默认

2014 时代还能用的明文 HTTP 服务（http://cip.cc）在 2024 年很多被劫持或下线，统一改用 HTTPS。

推荐使用支持 HTTPS 的查询：

1
2
3


curl -s https://api.ipify.org && echo
curl -s https://ifconfig.me
curl -s https://ipinfo.io/json | jq -r '.ip'

国产替代：curl https://myip.ipip.net（ipip.net 提供的中文输出）。
企业批量场景：建议自己起一个内部 IP 查询服务（curl -s http://10.0.0.1:8080/myip），避免依赖第三方。

三、查 CPU 信息：`lscpu` 是首选

/proc/cpuinfo 仍是最权威的来源，但读起来费劲。2024 主流是 lscpu（util-linux 包）：

1
2
3
4
5
6
7
8
9


lscpu
# Architecture: x86_64
# CPU(s): 128
# Model name: Intel(R) Xeon(R) Platinum 8338C CPU @ 2.60GHz
# CPU MHz: 2600.000
# L1d cache: 32K
# L1i cache: 32K
# L2 cache: 4096K
# L3 cache: 36608K

新硬件信息（dmidecode 仍然需要 root）：
1

sudo dmidecode -t processor | head -30
NUMA 拓扑（多 socket 机器 2024 已是标配）：
1 2

lscpu | grep -i numa numactl --hardware

四、SSH 登录：OpenSSH 9.x 的关键变化

OpenSSH 8.3+（2020）默认禁用 SHA1 的 RSA 签名（ssh-rsa），改用 rsa-sha2-256/512。
OpenSSH 9.0+（2022）默认禁用 ssh-dss (DSA)，所有 DSA 密钥都连不上。
OpenSSH 9.6+（2024-03）开始对默认配置加固：例如 PubkeyAcceptedAlgorithms 默认禁用 SHA1 主机密钥。
2024 推荐生成 ed25519 密钥（比 RSA 短、比 ECDSA 抗量子侧信道）：
1

ssh-keygen -t ed25519 -C "lwd@<your-host>"
老 RSA 密钥 2024 仍能用，但服务端 sshd 7.4+ 默认就接受 rsa-sha2-256/512 了，不用特殊配置。

Linux 工作站基础配置：swap、字体、输入法与 SSH

Wed, 15 Jan 2014 00:00:00 +0800

为什么需要这套配置

把 Linux 当作日常桌面工作站使用，2014 年开始已经可行：GNOME 3.10、KDE 4.11、XFCE 4.10 都已稳定，VMware / VirtualBox 跑 Windows XP/7 兼容良好。但"桌面工作站"和"服务器"最大的区别在于"长时间挂起 + 内存抖动 + 多桌面 + 代理客户端"这四件事。

本文把"日常开机就能用"的 Linux 工作站环境拆成 4 块：内存保护（swap + earlyoom）、字体、输入法、SSH 服务、代理客户端。

前置知识

已有 Kali / Debian / Ubuntu 12.04+ 的 root 账号
知道 apt update && apt install -y pkg 的基本语法
有 sudo 权限

一、Swap + earlyoom：内存保命的最后一道防线

桌面环境最常见的死机原因是 OOM（Out Of Memory）。早期 Linux 内核会在 OOM 时随机杀进程（OOM Killer），但 Xorg 桌面被杀掉就会黑屏。earlyoom 是一个"提前 OOM killer"——当可用内存低于阈值时主动同步杀最大占用进程，桌面不会黑屏。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22


# 1. 彻底关闭可能残留的异常 swap 状态
sudo swapoff -a

# 2. 在根目录下分配 8G swap（按物理内存 50% 估算）
sudo fallocate -l 8G /swapfile

# 3. 必须锁死权限，只允许系统 root 读写（安全合规要求）
sudo chmod 600 /swapfile

# 4. 把这个文件格式化为 Linux Swap 交换文件
sudo mkswap /swapfile

# 5. 立刻启用它
sudo swapon /swapfile
sudo sed -i '/\/swapfile/d' /etc/fstab
echo "/swapfile none swap sw 0 0" | sudo tee -a /etc/fstab
sudo swapon -a
swapon --show

# 6. 安装 EarlyOOM 并设置开机自启
sudo apt update && sudo apt install -y earlyoom
sudo systemctl enable --now earlyoom

fallocate 是 2014 年起标准工具，比 dd 快几十倍（秒级 vs 分钟级）。

二、内核调度：把 CPU 优先权让给图形服务

桌面卡顿的元凶之一是"图形进程优先级被系统调度压到 -5 以下"。Xfce / GNOME / KDE 都需要把 Xorg、wayland、合成器、窗口管理器的 nice 值提到 -15。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16


# 1. 正式写入留出 10% CPU 硬件带宽的配置（900000 微秒）
echo "kernel.sched_rt_runtime_us = 900000" | sudo tee -a /etc/sysctl.conf
sudo sysctl -p
sysctl kernel.sched_rt_runtime_us

# 2. 查 Xfce 桌面进程 PID（Kali 默认）
pgrep -x xfwm4

# 查 GNOME 桌面进程 PID
pgrep -x gnome-shell

# 查 KDE 桌面进程 PID
pgrep -x kwin_x11 || pgrep -x kwin_wayland

# 3. 通用命令：把底层图形服务提到最高优先级 (-15)
sudo renice -n -15 -p $(pgrep -x Xorg || pgrep -x wayland)

Xfce 永久生效

Xfce 是 Kali Linux 的默认桌面，重启后需要重新提权。用 @reboot 配合 sleep 10（等系统启动完）解决：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 1. 提升底层图形服务器优先级 (-15)
sudo renice -n -15 -p $(pgrep -x Xorg || pgrep -x wayland)
# 2. 针对 Xfce 桌面组件，精准全员提权 (-15)
sudo renice -n -15 -p $(pgrep -x xfwm4) $(pgrep -x xfce4-panel) $(pgrep -x xfdesktop)

# 3. 写入 crontab，重启后自动执行
(sudo crontab -l 2>/dev/null; echo "@reboot sleep 10 && renice -n -15 -p \$(pgrep -x Xorg || pgrep -x wayland) \$(pgrep -x xfwm4) \$(pgrep -x xfce4-panel) \$(pgrep -x xfdesktop) >/dev/null 2>&1") | sudo crontab -

# 4. 验证
sudo crontab -l
ps -p 2329 -o pid,ni,comm

GNOME / KDE 单行命令

GNOME 和 KDE 只有 1 个主进程需要提权：

1
2
3
4
5


# GNOME 桌面
sudo renice -n -15 -p $(pgrep -x gnome-shell)

# KDE 桌面
sudo renice -n -15 -p $(pgrep -x kwin_x11 || pgrep -x kwin_wayland || pgrep -x plasmashell)

三、字体：Cantarell + Fira Code Medium

Kali / Debian 桌面默认字体的几个坑：

Cantarell Regular 11（GNOME 默认）：界面阅读舒服，但等宽字符宽度不一致，vim / 终端会错位
Fira Code Medium 10（等宽字体）：连字（ligature）支持好，=> != >= 会自动连写

解决：终端强制用 Fira Code Medium，界面保留 Cantarell。

四、五笔输入法（fcitx5）

Debian 12+ / Kali 切换到 fcitx5 框架，比 fcitx4 性能好、内存少。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16


sudo apt-get install fcitx5 fcitx5-chinese-addons \
 fcitx5-frontend-gtk2 fcitx5-frontend-gtk3 fcitx5-frontend-qt5 \
 kde-config-fcitx5

# 写入 ~/.zshrc
cat << 'EOF' >> ~/.zshrc
export GTK_IM_MODULE=fcitx
export QT_IM_MODULE=fcitx
export XMODIFIERS="@im=fcitx"
EOF

# 启动
fcitx5 -d

# 打开配置（添加五笔 / 拼音）
fcitx5-config-qt

五、SSH 服务：桌面机的远程救生圈

桌面 Linux 装上 SSH 服务后，崩溃时可以从另一台机器 SSH 进去 kill 进程、重启服务——比物理重启快 10 倍。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16


# 1. 安装并启用
sudo apt update && sudo apt install -y openssh-server
sudo systemctl start ssh
sudo systemctl enable ssh
sudo systemctl status ssh

# 2. 编辑配置（启用公私钥登录）
sudo nvim /etc/ssh/sshd_config
# 找到下面这行，确保 yes
PubkeyAuthentication yes
sudo systemctl restart ssh

# 3. 把其他机器的公钥追加到本机
cat doc/path/to/id_rsa.pub >> ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys
chmod 700 ~/.ssh

六、Clash Verge：TUN 模式 + 软件渲染兜底

Linux 桌面装代理客户端的最大坑是 WebKit2GTK 在 VMware 软显卡上崩溃。Clash Verge Rev 是 2023 年后社区维护的版本，2.5.0 系列（2024+）加入了 WebKit 软渲染选项。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22


# 1. 安装（以 .deb 为例）
sudo dpkg -i Clash.Verge_2.5.0-rc_amd64.deb
which clash-verge
/usr/bin/clash-verge

# 2. TUN 模式：自动代理，省去系统代理环境变量配置
# 在 Verge 设置里开启 TUN 模式

# 3. 软渲染兜底（VMware SVGA II 显卡崩溃场景）
# NO_AT_BRIDGE=1 禁用 ATK bridge，绕过崩溃
# LIBGL_ALWAYS_SOFTWARE=1 强制 Mesa 用 CPU 软渲染（llvmpipe）替代 GPU 硬加速
LIBGL_ALWAYS_SOFTWARE=1 NO_AT_BRIDGE=1 clash-verge

# 4. 启动器参数（图形界面双击）
env LIBGL_ALWAYS_SOFTWARE=1 NO_AT_BRIDGE=1 clash-verge %u

# 5. 卸载
dpkg -l | grep clash
sudo dpkg -r clash-verge # 普通卸载
sudo dpkg -P clash-verge # 彻底卸载
sudo apt autoremove
rm -rf ~/.config/clash-verge/ # 清理配置

Why 软渲染：Clash Verge 用 WebKit2GTK 渲染界面，需要 OpenGL 做合成。VMware 显卡是 VMware SVGA II，内核驱动 vmwgfx 虽然能提供 3D 加速，但 WebKit2GTK 的 GPU 合成路径在 vmwgfx 上有问题，渲染出来是黑的。软渲染用 CPU 替代 GPU，速度慢 5 倍但稳定。

七、字体与终端协同

桌面	终端	界面
Xfce	Fira Code Medium 10	Cantarell Regular 11
GNOME	Fira Code Medium 10	Cantarell Regular 11
KDE	Fira Code Medium 10	Noto Sans CJK 11

KDE 桌面默认字体对中文渲染好（Noto Sans CJK 11），但等宽字符需要手动指定 Fira Code Medium。

下一步

想了解更多 Linux 开发工具链（sdkman / Go / Rust / Docker），看 2016-07-15《Linux 办公与开发工具链》
想把 WSL2 用成日常开发主力，看 2017-01-15《WSL2 完整使用手册》
想在 Windows 端实现类似体验，看 2017-04-15《Windows 包管理器三件套》

参考资料

早期 Linux 桌面工作站的稳定性方案
fcitx5 项目：https://github.com/fcitx/fcitx5
Clash Verge Rev：https://github.com/clash-verge-rev/clash-verge-rev

2024+ 视角：Wayland 主导 + Systemd-resolved + 现代 Linux 桌面

2024+ Linux 桌面的关键变化

维度	2014	2024+
显示协议	X11	Wayland（GNOME 46+ / KDE 6 默认）
桌面	GNOME 3.10 / KDE 4.11	GNOME 46 / KDE 6
字体渲染	freetype + cairo	freetype 2.13 + harfbuzz 8
输入法	fcitx4	fcitx5 5.1+
代理	各种 GUI	Clash Meta（Mihomo）
窗口合成	Xorg 手动	Wayland 协议

Wayland 是 2024+ 的"正确选择"

GNOME 46+（2024-03）默认 Wayland，X11 仅兼容模式
KDE Plasma 6（2024-02）默认 Wayland
Sway / Hyprland 等 tiling WM 体验更丝滑

Wayland 优势：

撕裂 / 延迟远低于 X11
HiDPI 缩放原生支持
安全模型更严（窗口间不互通）
与 GPU 合成深度集成

Wayland 坑：

NVIDIA 闭源驱动支持差（开源驱动 nouveau OK）
截屏 / 录屏工具要适配
远程桌面（VNC / RDP）需要 waypipe

`earlyoom` 已被 `systemd-oomd` 取代

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


# 1. 禁用 earlyoom
sudo systemctl disable --now earlyoom

# 2. 启用 systemd-oomd
sudo systemctl enable --now systemd-oomd

# 3. 配置 /etc/systemd/oomd.conf
[OOM]
SwapUsedLimit=90%
DefaultMemoryPressureLimit=60%
ManagedOOMSwap=kill
ManagedOOMMemoryPressure=kill

优势：

内核 PSI（Pressure Stall Information）数据，比 earlyoom 更精准
systemd 原生集成，无需独立守护进程
cgroup 级别 OOM 控制（容器友好）

字体 2024+ 演进

Cantarell 仍是 GNOME 默认
Inter 2024+ 跨桌面最流行（Noto Sans CJK 11 仍是 KDE CJK 首选）
JetBrainsMono Nerd Font 替代 Fira Code（连字 + 图标覆盖更全）
CJK 字体：思源黑体（Noto Sans CJK）仍是开源首选

1
2
3
4
5
6
7


# 装全套 Nerd Font（2024+ 推荐）
sudo apt install fonts-jetbrains-mono
# 或下载
wget https://github.com/ryanoasis/nerd-fonts/releases/latest/download/JetBrainsMono.zip
mkdir -p ~/.local/share/fonts/JetBrainsMono
unzip JetBrainsMono.zip -d ~/.local/share/fonts/JetBrainsMono/
fc-cache -fv

输入法 2024+ 现状

fcitx5 5.1+（2024）：RIME 内核升级，五笔 / 拼音 / 粤语 / 沪语支持完整
ibus 1.5+（Wayland 友好）
Wayland 兼容性：fcitx5 5.1+ 完全兼容 Wayland

1
2
3
4


# fcitx5 2024+ 配置
fcitx5-config-qt # 图形化配置
# ~/.config/fcitx5/conf/rime.conf
# 切换 rime 输入法部署目录

SSH 2024+ 安全基线

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17


# /etc/ssh/sshd_config（2024+ 推荐）
Port 2222 # 改默认端口
PermitRootLogin no
PasswordAuthentication no # 禁用密码
PubkeyAuthentication yes
KbdInteractiveAuthentication no
MaxAuthTries 3
ClientAliveInterval 300
ClientAliveCountMax 2

# 只允许特定用户
AllowGroups ssh-users

# 强制现代算法
KexAlgorithms curve25519-sha256@libssh.org
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com
MACs hmac-sha2-512-etm@openssh.com

Clash Verge Rev 2024+ 现状

Clash Meta（Mihomo） 成为协议支持最广的代理内核
Clash Verge Rev 2.x（2024）：基于 Tauri 2.0，内存占用从 200MB 降到 50MB
mihomo party 2024+：Linux 上 GUI 体验最好
sing-box 1.9+：Clash Verge 之外的另一个选择，原生支持 Reality / Hysteria2

1
2


# 2024+ 启动参数
LIBGL_ALWAYS_SOFTWARE=1 WEBKIT_DISABLE_DMABUF_RENDERER=1 clash-verge-rev

2024+ 推荐的 Linux 桌面配置

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13


现代 Linux 桌面工作站（2024+）
├── 发行版：Ubuntu 24.04 LTS / Fedora 40 / Arch
├── 桌面：GNOME 46 / KDE Plasma 6 / Hyprland
├── 显示协议：Wayland（默认）
├── 字体：JetBrainsMono Nerd Font + Noto Sans CJK
├── 输入法：fcitx5 5.1+（RIME / 五笔）
├── OOM：systemd-oomd（替代 earlyoom）
├── 代理：Clash Verge Rev 2.x / Mihomo
├── SSH：OpenSSH 9.x（强制密钥 + 改端口）
├── 文件：ZFS / Btrfs 快照 + 自动备份
├── 安全：UFW + Fail2ban
├── 监控：GNOME Extensions / Conky
└── 终端：Ghostty / Kitty / Foot（Wayland 原生）

2024+ 实用工具

工具	用途
Ghostty	Wayland 原生终端，启动 < 10ms
Kitty	GPU 加速终端
Neovim 0.10+	现代化 vim（Lua 配置）
Helix	Rust 写的现代化编辑器
Zed	2024 新编辑器，AI 友好
Waybar	Wayland 状态栏（Hyprland 配套）
rofi-wayland	应用启动器
sway / Hyprland	Tiling WM
wl-clipboard	Wayland 剪贴板
grim + slurp	Wayland 截屏

实战坑（2024+）

NVIDIA + Wayland：必须用 NVIDIA 555+ 驱动 + nvidia-drm.modeset=1 内核参数
fcitx5 + Wayland：必须用 fcitx5 5.1+ 版本，否则无法在 Wayland 下激活
systemd-oomd 配置：阈值设太低会杀正常进程，太高会触发内核 OOM Killer
Clash Verge 2.x 启动慢：Tauri 2.0 冷启动约 2s，可配 --no-sandbox 加快

Nginx stream 四层 TCP 代理实战：MSTSC 远程桌面透传与排错

Sun, 15 Sep 2013 00:00:00 +0800

背景

Nginx 早期是 HTTP（七层）反代神器，但从 1.9.0（2015 年）开始，ngx_stream_core_module 提供了四层（TCP/UDP）代理——能代理任何 TCP 协议：

RDP（Windows 远程桌面 3389）
MySQL、Redis、MongoDB
SSH
SMTP、POP3
游戏服务器
自定义 TCP 协议

与 HAProxy/LVS 对比：

维度	Nginx stream	HAProxy	LVS
学习成本	最低	中	高
性能	中等	强	最强
七层能力	同时支持	同时支持	不支持
适用规模	中小（< 5w QPS）	大	超大

典型场景：公司有几台 Windows 服务器，通过一台 Linux 反代把不同端口的 RDP 流量透明转发到不同后端，外网只暴露一个 VIP。

一、Nginx stream 模块基础

1.1 编译参数

stream 模块不是默认编译的，需要 --with-stream：

1
2
3


nginx -V
# 看是否有 --with-stream
# 如果没有，要重编译

重编译步骤：

1
2
3
4
5
6
7


# 看现有参数
nginx -V
# 在最后加 --with-stream
./configure <原参数> --with-stream
make
# 不要 make install（会覆盖），手动替换二进制
cp objs/nginx /usr/local/nginx/sbin/nginx

1.2 配置结构

/etc/nginx/nginx.conf：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 顶层 stream 块（与 http 同级）
stream {
 log_format proxy '$remote_addr [$time_local] '
 '$protocol $status $bytes_sent $bytes_received '
 '$session_time "$upstream_addr" '
 '$upstream_bytes_sent $upstream_bytes_received '
 '$upstream_connect_time';
 
 # 引入 conf.d/ 下的所有 stream 配置
 include /etc/nginx/stream/*.conf;
}

/etc/nginx/stream/rdp.conf：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16


upstream rdp_pool {
 hash $remote_addr consistent; # 同一客户端固定连同一后端
 server 10.0.0.10:3389 max_fails=3 fail_timeout=30s;
 server 10.0.0.11:3389 max_fails=3 fail_timeout=30s;
}

server {
 listen 3390; # 外网端口
 proxy_pass rdp_pool; # 转发到 upstream
 proxy_connect_timeout 10s;
 proxy_timeout 300s;
 
 # 自定义日志
 access_log /var/log/nginx/rdp_access.log proxy;
 error_log /var/log/nginx/rdp_error.log;
}

关键点：

stream 块在顶层（与 http 同级），不在 http 里面
监听端口不能与 http 块冲突
没有 server_name、没有 location（四层只看 IP:Port）

二、MSTSC 远程桌面透传实战

场景：公网 IP 47.104.152.64，Windows 内网 RDP 真实地址 10.0.0.10:3389。

2.1 完整配置

1
2
3
4
5
6
7
8
9


stream {
 log_format proxy '[$time_local] $protocol status:$status, '
 'bytes client:$bytes_sent/$bytes_received $session_time, '
 'client: $remote_addr, upstream:"$upstream_addr", '
 'bytes upstream:$upstream_bytes_sent $upstream_bytes_received '
 '$upstream_connect_time';
 
 include /etc/nginx/stream/*.conf;
}

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


# /etc/nginx/stream/rdp.conf
upstream mstsc {
 hash $remote_addr consistent;
 server 10.0.33.101:3389 max_fails=3 fail_timeout=30s;
}

server {
 error_log /var/log/nginx/101_3399_error.log;
 access_log /var/log/nginx/101_3399_access.log proxy;
 listen 3399; # 外网访问 3399
 proxy_connect_timeout 10s;
 proxy_timeout 300s;
 proxy_pass mstsc;
}

客户端连接：mstsc /v:47.104.152.64:3399

2.2 日志样例

1
2
3


[25/Apr/2017:17:55:57 +0800] TCP status:200, bytes client:103/122 10.671, 
client: 192.168.3.218, upstream: "192.168.1.176:59001" 
bytes upstream:122/103 0.000

字段解读：

bytes client:103/122：客户端发送 103 字节，接收 122 字节
client: 192.168.3.218：客户端真实 IP（不是 47.104.152.64）
upstream: "192.168.1.176:59001"：Nginx 主动连到 Windows 的源端口
bytes upstream:122/103：Nginx 转发给后端的字节数

三、Nginx HTTP 反代的 9 大 buffer 调优

常见 warning（Nginx error.log）：

1

an upstream response is buffered to a temporary file

原因：Nginx 默认的 buffer 太小，每个请求的缓存不够，请求头 header 太大或响应体超过 buffer 时，写入磁盘临时文件，造成 IO 飙升，访问卡顿。

3.1 完整 buffer 配置

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18


http {
 # client body（上传）
 client_max_body_size 2048m; # 最大上传 2GB
 client_body_buffer_size 1024k; # body 缓冲 1MB
 
 # proxy buffer
 proxy_buffer_size 256k; # header 缓冲 256K
 proxy_buffering on; # 开启缓冲（默认 on）
 proxy_buffers 64 128k; # 64 个 128K 缓冲（共 8MB）
 proxy_busy_buffers_size 512k; # 忙缓冲 512K（不能 > proxy_buffers 总和/2）
 
 # FastCGI buffer（PHP-FPM）
 fastcgi_buffer_size 512k; # header 缓冲
 fastcgi_buffers 6 512k; # 6 个 512K 缓冲（共 3MB）
 fastcgi_busy_buffers_size 512k; # 忙缓冲
 fastcgi_temp_file_write_size 512k; # 临时文件写入块大小
 fastcgi_intercept_errors on; # 拦截错误（4xx/5xx 自己处理）
}

3.2 各项调优解释

配置	作用	调优建议
`client_max_body_size`	最大请求体（POST 上传）	按业务定，文件上传建议 1g+
`client_body_buffer_size`	客户端 body 缓冲	16k ~ 1m
`proxy_buffer_size`	后端响应头缓冲	4k ~ 32k，大响应头可调到 128k
`proxy_buffers`	后端响应体缓冲（数量 × 单个大小）	通常 `8 16k` 或 `64 128k`
`proxy_busy_buffers_size`	正在发送的缓冲上限	必须 < `proxy_buffers` 总和的 1/2
`proxy_temp_file_write_size`	临时文件单次写入大小	默认 8k，调大可减少 IO 次数
`fastcgi_intercept_errors`	Nginx 拦截 FastCGI 错误	`on` 配合 `error_page` 自定义错误页

3.3 调优公式

总 buffer = proxy_buffer_size + proxy_buffers × 数量

例：proxy_buffers 64 128k = 64 × 128K = 8MB 单连接缓存

繁忙 buffer = proxy_busy_buffers_size × 2 ≤ 总 buffer

例：512k × 2 = 1MB ≤ 8MB ✓

四、Connection reset by peer 排错

完整错误：

1
2
3
4


recv() failed (104: Connection reset by peer) 
while proxying and reading from upstream, 
client: 89.248.163.87, server: 0.0.0.0:3399, 
upstream: "10.8.33.101:3389"

104 错误 = TCP RST，连接被对端强制关闭。

常见原因：

后端服务主动断开（如 Windows RDP 服务异常）
后端超时未响应，TCP keepalive 触发 RST
后端资源耗尽（CPU 100%、连接数打满）
Nginx 与后端的网络问题（中间设备丢包）

4.1 调优配置

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20


upstream bigdata {
 server 10.0.20.1:18018;
 server 10.0.20.2:18018;
 server 10.0.20.3:18018;
 server 10.0.20.4:18018;
 keepalive 100; # Nginx 与上游保持的长连接数
}

location / {
 proxy_pass http://bigdata;
 
 # 加大超时（默认 60s 偏短）
 proxy_connect_timeout 120;
 proxy_send_timeout 120;
 proxy_read_timeout 120;
 
 # 关键：启用 HTTP/1.1 + 清理 Connection header
 proxy_http_version 1.1;
 proxy_set_header Connection "";
}

关键点：

配置	作用
`keepalive 100`	Nginx 与每个上游保持 100 个长连接（连接复用）
`proxy_http_version 1.1`	必须 1.1——HTTP/1.0 不支持 keep-alive
`proxy_set_header Connection ""`	清掉 `Connection: close`，让 keep-alive 生效

为什么 HTTP/1.1 + Connection "" 必加？

HTTP/1.0 的 Connection: keep-alive 是可选的，HTTP/1.1 默认 keep-alive 但 Connection: close 可以强制关闭。Nginx 默认往上游发的 Connection: close（不重用连接），所以必须显式清掉。

五、实战：MySQL stream 代理

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13


stream {
 upstream mysql_pool {
 server 10.0.0.10:3306;
 server 10.0.0.11:3306;
 }
 
 server {
 listen 33306;
 proxy_pass mysql_pool;
 proxy_connect_timeout 5s;
 proxy_timeout 600s;
 }
}

客户端连接：

1

mysql -h <nginx-ip> -P 33306 -u root -p

注意：MySQL 认证是基于 IP 的，代理后所有客户端都是 nginx-ip，可能触发 host 'nginx-ip' is not allowed。对策：

MySQL 授权时用 'root'@'%'
或在 MySQL 端用 skip-name-resolve

六、实战：Redis stream 代理

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


stream {
 upstream redis_pool {
 server 10.0.0.10:6379;
 }
 
 server {
 listen 36379;
 proxy_pass redis_pool;
 proxy_connect_timeout 5s;
 proxy_timeout 300s;
 }
}

Redis 协议简单，stream 代理几乎零问题。

七、SSL/TLS over stream

stream 块也支持 SSL（需 --with-stream_ssl_module）：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13


stream {
 upstream mysql_ssl {
 server 10.0.0.10:3306;
 }
 
 server {
 listen 33307 ssl;
 proxy_pass mysql_ssl;
 ssl_certificate /etc/nginx/ssl/server.crt;
 ssl_certificate_key /etc/nginx/ssl/server.key;
 ssl_protocols TLSv1.2 TLSv1.3;
 }
}

典型场景：MySQL 客户端启 SSL，但不想让客户端直接连真实 MySQL，走 Nginx 反代统一证书。

八、负载均衡算法

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26


upstream backend {
 # 1. 轮询（默认）
 # server 10.0.0.10:8080;
 # server 10.0.0.11:8080;
 
 # 2. 加权轮询
 # server 10.0.0.10:8080 weight=3;
 # server 10.0.0.11:8080 weight=1;
 
 # 3. ip_hash（会话保持）
 # ip_hash;
 # server 10.0.0.10:8080;
 # server 10.0.0.11:8080;
 
 # 4. consistent hash（一致性 hash，加减节点影响小）
 hash $remote_addr consistent;
 server 10.0.0.10:8080;
 server 10.0.0.11:8080;
 
 # 5. least_conn（最闲）
 # least_conn;
 # server 10.0.0.10:8080;
 
 # 6. random
 # random;
}

九、健康检查与失败处理

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


upstream backend {
 server 10.0.0.10:8080 max_fails=3 fail_timeout=30s;
 server 10.0.0.11:8080 max_fails=3 fail_timeout=30s;
 # 健康检查：失败 3 次标记为 down，30 秒后再试
}

server {
 listen 80;
 proxy_pass backend;
 proxy_next_upstream error timeout invalid_header http_502 http_503;
 # 后端 error/timeout/502/503 时，自动切到下一个 upstream
 proxy_next_upstream_tries 2;
 proxy_next_upstream_timeout 10s;
}

max_fails 与 fail_timeout：

30 秒内失败 3 次 → 标记 down
30 秒后再尝试（如果还失败，继续 down）

proxy_next_upstream：

error：连接错误
timeout：超时
invalid_header：响应头无效
http_502/503/504：HTTP 错误码
off：禁用

十、常见错误

10.1 stream 块识别为 HTTP

症状：Nginx 启动报 unknown directive "stream"。

原因：编译时没加 --with-stream。

对策：重编译 nginx 加 --with-stream，参考 1.1 节。

10.2 listen 端口冲突

1

bind() to 0.0.0.0:3399 failed (98: Address already in use)

对策：

1
2
3


ss -tan | grep 3399
# 看哪个进程占用
lsof -i :3399

10.3 客户端真实 IP 丢失

默认情况：后端看到的客户端 IP 是 Nginx 内网 IP（不是真实客户端）。

对策（仅限 HTTP，TCP 协议做不到）：

1
2
3
4
5


location / {
 proxy_pass http://backend;
 proxy_set_header X-Real-IP $remote_addr;
 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}

stream 块没有 proxy_set_header！要传真实 IP 必须用应用层协议（如 HTTP 的 X-Forwarded-For、MySQL 的账号 IP 白名单）。

10.4 大量 TIME_WAIT

症状：netstat -an | grep TIME_WAIT | wc -l 几万。

对策：

1
2
3
4
5


# 开启 TIME_WAIT 复用
sysctl -w net.ipv4.tcp_tw_reuse=1

# 缩短 TIME_WAIT 时间（默认 60s）
sysctl -w net.ipv4.tcp_fin_timeout=30

小结

Nginx stream 模块让 Nginx 从七层反代进化为"四/七层通吃"：

编译加 --with-stream
stream 块与 http 同级
listen + proxy_pass 简单粗暴
keepalive + HTTP/1.1 + Connection "" 是 HTTP 反代性能关键
buffer 调优避免写临时文件
客户端真实 IP（四层）传不到后端，靠应用层协议

生产建议：

七层反代：用 Nginx，配置友好
四层 1w-5w QPS：用 Nginx stream
四层 5w+ QPS：用 LVS DR 或 HAProxy
多协议混合：Nginx 统一管（HTTP 在 http 块，TCP 在 stream 块）

下一步：

用 Nginx stream + Let’s Encrypt 做 TLS 反代
上 HAProxy 做更细的健康检查
用 Envoy / APISIX 做云原生时代的四/七层代理

2024 视角：Nginx 仍是 1.25+ / 1.27+ 时代的王者

2013 那篇的 ngx_stream_core_module 仍是 Nginx 的核心特性。2024 视角下：

一、Nginx 1.25 / 1.27（2024 主流）

Nginx 1.25.x（2023-05 起的 mainline）：实验新特性。
Nginx 1.27.x（2024-08）：新 mainline，引入 HTTP/3 over QUIC 完整支持。
Nginx Plus R32（2024）：商业版新增 Dynamic Configuration via API、Active Health Checks 增强。

1
2
3


# 看版本
nginx -v
# nginx version: nginx/1.27.0

二、QUIC / HTTP/3 已成"必选项"

2013 那篇完全没提 QUIC。2024 视角下 QUIC / HTTP/3 已是性能优化标配：
- 握手 0-RTT（比 TLS 1.3 还快）
- 连接迁移（IP 变化不重连）
- 多路复用（解决 HTTP/2 队头阻塞）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20


# Nginx 1.25+ 启用 HTTP/3
server {
 listen 443 ssl;
 http2 on;
 
 # 启用 HTTP/3（同时监听 UDP 443）
 add_header Alt-Svc 'h3=":443"; ma=86400';
 
 ssl_protocols TLSv1.2 TLSv1.3;
 ssl_early_data on;
 ssl_protocols TLSv1.3;
}

# Nginx 1.27+ 直接
server {
 listen 443 quic reuseport;
 listen 443 ssl;
 http2 on;
 add_header Alt-Svc 'h3=":443"; ma=86400';
}

三、buffer 调优的"现代"配方

2013 那篇给的 proxy_buffer_size 256k / proxy_buffers 64 128k 仍是有效。
2024 实践：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


# 大文件 / 视频流
proxy_buffer_size 1m;
proxy_buffers 8 1m; # 8 个 1M（共 8M）
proxy_busy_buffers_size 2m;
proxy_temp_file_write_size 4m;

# API 服务（小响应）
proxy_buffer_size 16k;
proxy_buffers 8 16k;
proxy_busy_buffers_size 32k;

新指令：
- proxy_socket_keepalive on：向上游发 TCP keep-alive（避免 TIME_WAIT 堆积）
- proxy_pass_request_body off：透传大 body 优化
- proxy_force_ranges on：强制 Range 支持

四、`Connection reset by peer` 的 2024 排查清单

2013 那篇给的 proxy_http_version 1.1 + Connection "" + keepalive 100 仍是标准动作。2024 升级：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19


upstream backend {
 server 10.0.20.1:18018 resolve;
 server 10.0.20.2:18018 resolve;
 keepalive 32; # 适当调小（旧值 100 过大）
 keepalive_requests 1000; # 单连接最多 1000 请求后关闭（防内存泄漏）
 keepalive_timeout 60s;
}

location / {
 proxy_pass http://backend;
 proxy_http_version 1.1;
 proxy_set_header Connection "";
 proxy_connect_timeout 5s; # 比 120s 短
 proxy_send_timeout 60s;
 proxy_read_timeout 60s;
 proxy_socket_keepalive on; # 2024 新
 proxy_next_upstream error timeout http_502 http_503;
 proxy_next_upstream_tries 2;
}

新调试工具：
- nginx -T：dump 完整配置（include 全部展开）
- error.log debug：详细 debug 日志
- stub_status：基础统计
- /usr/lib/nginx/modules/ngx_http_vhost_traffic_status（淘宝开源）：流量详情

五、stream 块在 K8s 时代的"角色"

2024 趋势：Nginx stream 在 K8s 时代被 Envoy 替代。
Nginx Ingress Controller（K8s 标准 Ingress 实现）：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21


# k8s-ingress.yaml
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
 name: myapp
 annotations:
 nginx.ingress.kubernetes.io/proxy-body-size: "50m"
 nginx.ingress.kubernetes.io/proxy-read-timeout: "60"
spec:
 ingressClassName: nginx
 rules:
 - host: myapp.example.com
 http:
 paths:
 - path: /
 pathType: Prefix
 backend:
 service:
 name: myapp
 port:
 number: 80

优势：Nginx Ingress Controller = Nginx + K8s 自动化（自动 reload、自动证书、自动 upstream）。

六、动态 upstream 的"现代"实现

2013 那篇的 upstream 是静态配置。
2024 现代姿势：upstream {} 动态解析（DNS + Service Discovery）：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


# 动态 upstream（Nginx Plus 特性，开源版部分支持）
upstream backend {
 zone backend 64k;
 server backend-service.default.svc.cluster.local:80 resolve;
 resolver kube-dns.kube-system.svc.cluster.local valid=30s;
}

# 通过 API 动态加 backend
curl -X POST http://127.0.0.1:8080/api/version/http/upstreams/backend/servers/ \
 -d '{"server":"10.0.1.50:80"}'

Nginx 开源版（1.27+）也支持 resolver + resolve 指令，SVC 后端自动发现。

七、SSL/TLS 的"现代"最佳实践

2013 那篇的 ssl_protocols TLSv1 TLSv1.1 TLSv1.2 已经被2024 安全规范淘汰。
2024 强制：

1
2
3
4
5
6
7
8


ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:50m;
ssl_session_timeout 1d;
ssl_session_tickets off;
ssl_stapling on;
ssl_stapling_verify on;

OCSP Stapling：减少客户端验证延迟
TLS 1.3 强制：禁用 TLS 1.0/1.1

八、Nginx + 服务网格的"混合部署"

2024 大量 K8s 项目不再用 Nginx 反代——用 Istio / Linkerd 自带 Envoy。
Nginx 仍在用的场景：
- 边缘节点（CDN 边缘）
- 物理机 / 虚拟机（不在 K8s 里）
- Web 服务器（静态资源）
- API 网关（Apigee / Kong 基于 Nginx）
- Sidecar 替代（轻量场景，Nginx sidecar 比 Envoy 资源占用更少）

九、Nginx 商业替代

F5 NGINX Plus（商业版）：Dynamic Configuration API、Active Health Checks、JWT 验证、WAF
OpenResty（章亦春）：Lua 脚本扩展——2024 仍是国内"高阶 Nginx 玩法"主流
Caddy：自动 HTTPS（Let’s Encrypt 内置）
Traefik：云原生时代的"动态 Nginx"

源文档：

os/linux/第三方tools/dev/反向代理/Nginx/nginx.md（stream TCP 代理 + 自定义日志）
os/linux/第三方tools/dev/反向代理/Nginx/问题.md（buffer 调优 + Connection reset by peer）

Telnet 远程登录与 xinetd 守护：内网老式设备的'最后一根救命稻草'

Sat, 15 Jun 2013 00:00:00 +0800

背景

在 SSH（默认 22 端口）普及的今天，Telnet（默认 23 端口） 似乎是个远古时代的产物——但实际上，有些场景你必须用 Telnet：

网络设备（华为交换机、Cisco 路由器、H3C 防火墙）：很多低端型号只支持 Telnet 管理，SSH 协议栈要么没，要么是付费 License
老旧服务器：CentOS 5.x、Debian 6 这种古董系统的恢复模式
SSH 配置被改坏进不去系统时，IPMI/ILO 走 Telnet 进单用户模式修复
嵌入式设备：工业 PLC、工控网关默认 Telnet
应急通道：内网堡垒机临时开 Telnet，作为 SSH 失联的备选

Telnet 最大的问题：明文传输——账号、密码、命令全部裸奔在网络上。所以：

生产环境永远不要用 Telnet 暴露在公网。本篇主要讲内网应急和老设备管理场景。

一、Telnet 与 xinetd 的关系

关键概念：现代 Linux 上 Telnet 不再独立运行，而是由 xinetd（Extended Internet Daemon）超级守护进程按需启动。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


[客户端] ──TCP:23──> xinetd 监听 23
 │
 │ 收到连接
 │
 │ fork 子进程：/usr/sbin/in.telnetd
 ↓
 in.telnetd 接管这个连接
 │
 │ 验证账号
 │ 启动 shell
 ↓
 用户登录

为什么用 xinetd？

老式服务（telnet/ftp/tftp/rsh）每个都跑一个守护进程太浪费
xinetd 统一监听端口，按需启动服务，资源占用低
集中管理（ACL、限速、日志）

二、安装

2.1 CentOS 7

1
2


yum install telnet-server
yum install xinetd

2.2 Ubuntu/Debian

1

apt install telnetd xinetd

2.3 启动与开机自启

1
2
3
4
5
6
7
8
9


# CentOS 7（用 systemd socket 激活）
systemctl enable telnet.socket
systemctl enable xinetd
systemctl start telnet.socket
systemctl start xinetd

# Ubuntu（直接启动 xinetd）
systemctl enable xinetd
systemctl start xinetd

检查服务：

1
2
3


systemctl status telnet.socket
systemctl status xinetd
# 应都是 active (running)

检查端口：

1
2


ss -tan | grep :23
# 应看到 LISTEN 0 128 [::]:23 [::]:*

三、配置 /etc/xinetd.d/telnet

1

vim /etc/xinetd.d/telnet

关键配置：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18


service telnet
{
 disable = no # 启用（yes = 禁用）
 flags = REUSE # 端口复用
 socket_type = stream # TCP
 wait = no # 多线程（yes = 单线程）
 user = root
 server = /usr/sbin/in.telnetd
 server_args = -h # 不显示 banner（更隐蔽）
 log_on_failure += USERID # 失败日志记账号
 log_on_success += PID HOST EXIT # 成功日志记 PID、来源、退出码
 # 访问控制
 only_from = 10.0.0.0/8 192.168.0.0/16 # 只允许内网
 # no_access = 0.0.0.0/0 # 黑名单（与 only_from 二选一）
 # 限速
 per_source = 5 # 单 IP 最大并发 5
 cps = 50 10 # 每秒 50 新连接，超额等 10 秒
}

配置项详解：

选项	作用
`disable = no`	启用本服务（默认配置常是 `yes`）
`flags = REUSE`	端口可复用，紧急重启服务不用等 TIME_WAIT
`wait = no`	多线程（一个连接一个进程，互不阻塞）
`user = root`	以 root 身份 fork 子进程处理 telnet 请求
`server`	telnet 服务程序路径
`only_from`	白名单 IP 段（强烈建议）
`no_access`	黑名单 IP 段
`per_source`	单 IP 最大并发连接数
`cps`	新连接速率限制（防爆破）
`log_on_failure`	失败日志加 USERID（记尝试的用户）
`log_on_success`	成功日志加 PID/HOST/EXIT

reload 配置：

1
2


# 不用 restart，xinetd 自动重载
killall -HUP xinetd

四、允许 root 登录（默认禁用）

Telnet 默认不允许 root 直接登录（/etc/securetty 控制）——这是安全设计，但有时候确实需要。

临时开放：

1
2


mv /etc/securetty /etc/securetty.bak
# 现在 root 可以 Telnet 登录

永久开放（不推荐）：保持 /etc/securetty.bak 即可。

正确做法：用普通账号登录，再 su - 切 root。这样至少有审计日志。

五、客户端使用

5.1 Linux 客户端

1
2
3
4
5
6
7
8


telnet <server-ip> 23
# Trying 10.8.33.21...
# Connected to 10.8.33.21.
# Escape character is '^]'.
# 
# login: root
# Password: 
# [root@server ~]#

退出：按 Ctrl + ]，输入 quit 回车。

5.2 Windows 客户端

CMD：telnet 10.8.33.21
PuTTY：选 Telnet 协议
MobaXterm：新建 Session → Telnet

5.3 自动化脚本

1
2
3
4
5


# 批量检查 Telnet 端口（巡检用）
for ip in $(cat hosts.txt); do
 echo -n "$ip: "
 timeout 3 bash -c "echo > /dev/tcp/$ip/23" 2>/dev/null && echo "open" || echo "closed"
done

六、常见问题

6.1 连不上，端口无响应

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13


# 检查 xinetd 是否启动
systemctl status xinetd

# 检查 23 端口是否监听
ss -tan | grep :23

# 检查防火墙
iptables -L -n | grep 23
# 或
firewall-cmd --list-ports | grep 23
# 开放
firewall-cmd --add-port=23/tcp --permanent
firewall-cmd --reload

6.2 连得上但立刻断开

症状：显示 login: 后输入用户名，断开。

原因：/etc/securetty 没配或被改名，或者 PAM 模块拒绝。

对策：

1
2
3
4
5


# 恢复 securetty
mv /etc/securetty.bak /etc/securetty # 如果之前移走了
# 或者在 securetty 末尾加
echo "pts/0" >> /etc/securetty
echo "pts/1" >> /etc/securetty

6.3 中文乱码

Telnet 客户端和服务端字符集不一致导致。对策：

1
2
3
4
5


# 客户端
LANG=zh_CN.UTF-8 telnet <ip>

# 服务端
echo 'LANG=zh_CN.UTF-8' >> /etc/environment

或者直接用 SSH 替代——SSH 字符集协商完善，没有这个问题。

6.4 速度极慢

原因：TCP 窗口、MTU 不匹配。

对策：

1
2


sysctl -w net.ipv4.tcp_window_scaling=1
sysctl -w net.core.rmem_max=16777216

七、安全加固

如果必须在生产用 Telnet（内网专线也算）：

7.1 强访问控制

1
2
3


# /etc/xinetd.d/telnet
only_from = 10.0.0.0/8 # 严格内网白名单
bind = 10.8.33.21 # 只在内网 IP 监听

7.2 改端口（防自动化扫描）

1
2


# /etc/services
telnet 2323/tcp # 改 23 → 2323

1
2


# /etc/xinetd.d/telnet
port = 2323

1
2


# 客户端连 2323
telnet <ip> 2323

7.3 强密码 + 锁定策略

1
2
3
4


# 失败 3 次锁定 10 分钟
yum install pam_tally2
# /etc/pam.d/login 加：
auth required pam_tally2.so deny=3 unlock_time=600

7.4 用 SSL 包装（stelnet）

OpenSSH 自带的 stelnet（SSH 包装 Telnet）能让 Telnet 流量走 SSH 加密隧道：

1
2


ssh -L 2323:localhost:23 user@jumphost
# 本地连 2323 实际走 SSH 到 jumphost 再 Telnet

八、SSH 替代方案

能用 SSH 就别用 Telnet——所有现代 Linux 默认装 SSH：

维度	Telnet	SSH
加密	明文	RSA/AES 加密
端口	23	22
认证	密码	密码 / 公私钥 / MFA
性能	略快（无加密开销）	CPU 多耗 1-3%
工具支持	老设备专用	全平台
审计	xinetd 简单日志	PAM + auditd 完整
推荐	内网应急/老设备	生产默认

给老设备开 SSH 的方案：

Cisco：进入配置模式 crypto key generate rsa 启 SSH
华为：类似 local-user ... service-type ssh
H3C：开启 STelnet 服务
老服务器：先 Telnet 进去，再装 openssh-server

九、卸载

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


# CentOS
systemctl stop telnet.socket xinetd
yum remove telnet-server xinetd -y
yum autoremove -y
rm -f /etc/xinetd.d/telnet

# Ubuntu
systemctl stop xinetd
apt remove telnetd xinetd -y
apt autoremove -y

小结

Telnet 是远古但仍有用的工具——关键是场景分清：

生产业务 → 用 SSH，别用 Telnet
内网应急/堡垒机备选 → 可以开 Telnet + 强 ACL
老设备（交换机、PLC）→ 没办法，Telnet 是唯一选择
SSH 失联恢复 → IPMI/ILO 的 Telnet 救场

用 Telnet 的 4 条铁律：

必须 only_from 白名单
禁用 root 登录（用普通账号 + su）
强密码策略 + 失败锁定
定期审计 /var/log/secure / /var/log/auth.log

下一步：

商业方案：Cisco ACS / Huawei iMaster NCE 集中认证
自建堡垒机：JumpServer、Teleport（Telnet/SSH 统一代理 + 审计）
应急通道：IPMI/ILO 的 Telnet 救场（保留一份 BIOS/IPMI 文档）

源文档：os/linux/第三方tools/net/telnet/telnet.md（xinetd 配置、systemd 启动、端口检查）

Linux 发行版生态：从 Debian 到 Kali 的家族图谱与个人选型

Fri, 15 Mar 2013 00:00:00 +0800

一、为什么是 2013 年这一份

2013 年这个时间点其实挺关键：

Ubuntu 13.04（Raring Ringtail）即将发布，Unity 还在主线上
CentOS 6.4 是企业生产环境绝对主流，CentOS 7 还要等到 2014-07
Arch Linux 滚动更新已是稳定派系代表
Fedora 18（Spherical Cow）刚发布
Kali 1.0 还没影（Kali 1.0.0 是 2013-03-13 刚发布）

这一篇只整理发行版家族血缘与官方源，不展开具体安装和使用——这些细节在后续的 Debian / Ubuntu / Deepin / Kali 几篇里都有。

阅读建议：本文是"地图"，不是"攻略"。先收藏，遇到具体发行版再翻对应文章。

二、Linux 发行版全景图

下面这张表把 2013 年能见到的几大派系按血缘收拢。重点关注父系 → 子系的继承关系，以及"发行版代号"是社区行为还是商业行为。

2.1 Debian 系：稳定、保守、衍生最多

Debian 是 Linux 发行版界的"祖宗之一"，1993 年由 Ian Murdock 启动。Debian 的特点是严谨、稳定、APT 包管理，并且没有任何商业公司主导。这让它成为后面无数发行版的底座。

派系	代表项目	官网	备注
Debian 本家	Debian	https://www.debian.org	“精简、稳定、发行周期长”，到 2013 年 5 月已经发布 7.0 (wheezy)
安全/取证	Kali	https://www.kali.org	设计用于数字鉴证和渗透测试，滚动更新（后来才改成滚动，2013-03 的 Kali 1.0 仍是基于 Debian 7 的固定版本）
大众桌面	Ubuntu	https://ubuntu.com	Canonical 公司主导，2013 年已是最受欢迎的桌面 Linux
↳ 子系	Linux Mint	https://www.linuxmint.com	“免费开源、现代、优雅”，基于 Ubuntu
↳ 子系	Zorin OS	https://zorinos.com	模仿 Windows 操作习惯，方便从 Windows 迁移
↳ 子系	Pop!_OS	https://pop.system76.com	电脑制造商 System76 推出（2017 才发布，2013 时还没有）
↳ 子系	elementary OS	https://elementary.io	仿 macOS 视觉风格（2013 还没发布，2017 才有正式版）
↳ 子系	KDE neon	—	基于 Qt 的开发环境（2016 才发布）

关于表格中部分子系：Pop!_OS、elementary OS、KDE neon 在 2013 年时还不存在。本文把它们列出来是为了给"Debian → Ubuntu → 桌面衍生"这条血脉做个全图，免得几年后回看一脸懵。

2.2 Arch 系：滚动发布、贴近上游

派系	代表项目	官网	备注
Arch 本家	Arch Linux	https://archlinux.org	“滚动发布”，pacman 包管理
桌面化包装	Manjaro	https://manjaro.org	2013 年已发布，“使 Arch 更方便”

Arch 系的"卖点"是永远用最新版本，但代价是稳定性靠自己。Manjaro 之于 Arch 类似 Ubuntu 之于 Debian——把"原教旨主义"折中一下。

2.3 Fedora / Red Hat 系：企业血脉

派系	代表项目	官网	备注
Fedora	Fedora	https://fedoraproject.org	社区开发、红帽公司赞助
Red Hat Enterprise Linux	RHEL	https://www.redhat.com	商业发行版
↳ 社区克隆	CentOS	https://www.centos.org	2020-12-08 之前的社区克隆（2020-12 红帽终止 CentOS 开发）
↳ 新社区克隆	Rocky Linux	https://rockylinux.org	CentOS 8 寿命结束前的替代品（2021 才发布）

2013 年当时的现状：CentOS 6.x 是绝对主力，CentOS 7 还在测试，RHEL 7 也是同年 6 月才发布。这一年用 Fedora 当桌面 + CentOS 当服务器是典型组合。

2.4 Gentoo / Chromium OS：编译系

派系	代表项目	官网	备注
Gentoo 本家	Gentoo	https://www.gentoo.org	基于 Portage 包管理系统，几乎所有东西都从源码编译
特化	Chromium OS	https://dev.chromium.org	利用 Gentoo 的 Portage 特制化的 Linux 发行版，本身与 Gentoo Linux 无关（这是 Google Chrome OS 的开源版）

Gentoo 系的玩法是"极致定制 + 从源码编译"，性能调优空间大，但安装时间长、维护成本高。2013 年活跃用户多以"折腾向"为主。

2.5 其他

派系	代表项目	官网	备注
Slackware	Slackware	http://www.slackware.com	力图成为"UNIX 风格"的 Linux 发行版
Mandriva	—	—	2015-05-26 Business Inside 报导 Mandriva 公司已正式宣告结束营运
轻量	Alpine Linux	—	基于 musl 和 BusyBox，超级轻量级（容器镜像常用）
SUSE	openSUSE	—	前身为 SUSE Linux 和 SUSE Linux Professional

Slackware：2013 年时已经是非常"老牌"的发行版（1993 年），技术派用户偏爱它"贴近 UNIX"的设计哲学，但市场份额已经很小。

三、个人选型建议（2013 视角）

站在 2013 年这个节点上做技术选型，我的个人习惯是：

场景	推荐	理由
桌面日常	Ubuntu LTS（12.04）	用户多、社区活跃、文档全
服务器	CentOS 6.x	当时的事实标准，文档和运维生态最丰富
学习 Linux 内核	Arch	滚动发布、文档优秀（Arch Wiki）
渗透测试	BackTrack 5（Kali 1.0 刚出，可观望）	工具齐全，2013-03 Kali 1.0 才发布
嵌入式 / 容器	Alpine	体积小、musl libc 兼容性好

四、本人常用到的服务器硬盘挂载"个人笔记"

这一节是从工作笔记里捞出来的一个高频操作——在已有 LVM 的服务器上把数据盘挂到 /home。完整步骤直接搬过来，不展开 LVM 概念（详见本系列《Linux 磁盘与 LVM 深度实践》）。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33


# 1. 查看现有分区和挂载
fdisk -l

# 2. 终止占用 /home 的进程
fuser -m -v -i -k /home

# 3. 备份 /home
cp -r /home/ homebak/

# 4. 卸载 /home
umount /home

# 5. 删除 /home 所在的 lv
lvremove /dev/mapper/centos-home

# 6. 扩展 /root 所在的 lv（增加 100G）
lvextend -L +100G /dev/mapper/centos-root

# 7. 扩展 /root 文件系统（XFS 用 xfs_growfs，ext4 用 resize2fs）
xfs_growfs /dev/mapper/centos-root

# 8. 重新创建 home lv（40G）
lvcreate -L 40G -n home centos

# 9. 创建文件系统
mkfs.xfs /dev/centos/home

# 10. 挂载
mount /dev/centos/home /home

# 11. 还原 /home 下的内容（注意权限）
cp -r homebak/* /home/
chown -R hdfs:hdfs /home/hdfs # 按真实用户调整

几个关键点：

fuser -m -v -i -k 是核心：它会列出哪些进程在占用 /home，然后询问（-i）要不要 kill，不要用裸的 fuser -mk
xfs_growfs vs resize2fs：CentOS 7 默认 XFS 用前者；CentOS 6 / Ubuntu 默认 ext4 用后者
顺序：先备份 → 卸载 → 删 lv → 扩 root → 建 home → 挂载 → 还原，不要跳步

关于 CentOS 引用：原笔记里的 centos-home、centos-root 是 CentOS 7 安装器默认的 VG/LV 命名（2014-06 之后）。Ubuntu 24.04 默认是 ubuntu-vg/ubuntu-lv（Kali/Debian 类似）。

五、前置知识 / 下一步

想了解 LVM 底层原理、PV/VG/LV、扩容缩容、LVM Cache → 翻本系列《Linux 磁盘与 LVM 深度实践》
想了解 Debian 9/10/11 不同版本的装机流程 → 翻本系列《Debian 家族发行版全指南》
想了解 Ubuntu 22.04 / 24.04 server 装机、netplan 静态 IP → 翻本系列《Ubuntu 发行版实战》
想了解 Kali 的 Docker 集成、渗透工具集 → 翻本系列《Deepin 与 Kali 发行版实战》

六、参考资源

Wikipedia 中文条目：Linux 发行版列表
DistroWatch：https://distrowatch.com/（各发行版版本号、活跃度、新闻汇总）
Arch Wiki：https://wiki.archlinux.org/（讲原理最清楚的一份文档，虽然是 Arch 的）

MySQL 安装部署实战：Linux 二进制与 Windows Installer 双路

Fri, 15 Mar 2013 00:00:00 +0800

为什么写这篇：MySQL 的安装步骤看似简单，但glibc 版本依赖、socket 文件路径、字符集配置、远程 root 授权这四件事踩过坑的人不在少数。本文把"Linux 通用二进制 + Windows MSI Installer"两条路整理成可复制的 SOP，每一步都说明"为什么这么做"。

适用读者：需要在本地或服务器上从零搭建 MySQL 的开发者、运维、DBA。

前置知识：会用 tar/systemctl、懂得基础 SQL。

1. 安装前必看：版本与发行版选型

MySQL 的安装方式有很多种，按"可控性"从高到低排列：

方式	适用场景	关键特点
glibc 通用二进制包	生产服务器	自包含、可控、不依赖系统包管理器
源码编译	极致定制	自由选编译参数，但维护成本高
apt/yum 仓库包	个人开发机	一行命令搞定，但版本可能偏旧
MSI Installer（Windows）	Windows 服务器 / 开发机	图形化向导 + Windows 服务集成
Docker 镜像	容器化部署	隔离性好、启动最快（参考 0.5.4 批次的 MySQL Docker 实战）

选型建议：生产环境首选 glibc 通用二进制或 yum/apt 仓库包；开发机用 MSI Installer 最省事；K8s 集群用 Docker 镜像。

版本号含义（以 8.0.40 为例）：

第一个数字 8：主版本。从 8.0 起，MySQL 引入窗口函数、CTE、JSON 增强
第二个数字 0：次版本。8.0 时代的偶数版本（8.0.23、8.0.34、8.0.40）是 LTS 候选
第三个数字 40：补丁版本。bugfix 累计，越大越新

glibc 版本核查：

1
2
3
4


ldd --version
# 输出：ldd (GNU libc) 2.17
# MySQL 8.0.40+ 要求 glibc 2.28+
# CentOS 7 自带 glibc 2.17 → 装 8.0.40 会失败，要选 8.0.23 之前的版本

重要提示：MySQL 8.x 的二进制包对 glibc 有最低版本要求。CentOS 7 / RHEL 7 自带 glibc 2.17，最多支持到 MySQL 8.0.36；想要 8.0.40+ 需要升 glibc 或换 OS。

2. Linux 二进制安装：glibc 通用包

2.1 卸载旧版本

很多系统预装了 MariaDB 或老版本 MySQL，必须先卸载：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


# 查看
rpm -qa | grep -i mariadb
rpm -qa | grep -i mysql

# 卸载（-e --nodeps 强制卸载，可能破坏依赖，但生产库就是要干净）
rpm -e --nodeps mariadb-libs-5.5.44-2.el7.centos.x86_64
rpm -e --nodeps mysql-libs-5.1.73-5.el6_6.x86_64

# 删除残留配置
rm -f /etc/my.cnf

2.2 下载与解压

官方归档地址：https://downloads.mysql.com/archives/community/

1
2
3
4
5
6
7
8


cd /usr/local/

# 下载（以 MySQL 8.1.0 为例，根据 glibc 兼容性挑版本）
wget https://downloads.mysql.com/archives/get/p/23/file/mysql-8.1.0-linux-glibc2.28-x86_64.tar.xz

# 解压并改名
tar -xvf mysql-8.1.0-linux-glibc2.28-x86_64.tar.xz
mv mysql-8.1.0-linux-glibc2.28-x86_64 mysql

2.3 创建 mysql 用户与目录

1
2
3
4
5
6


mkdir -p /usr/local/mysql/data

groupadd mysql
useradd -g mysql mysql

chown -R mysql:mysql /usr/local/mysql

2.4 编辑 `/etc/my.cnf`

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31


[mysql]
# 设置 mysql 客户端默认字符集
default-character-set=utf8

[mysqld]
# 设置 3306 端口
port = 3306
# 设置 mysql 的安装目录
basedir=/usr/local/mysql
# 设置 mysql 数据库的数据存放目录
datadir=/usr/local/mysql/data
# 允许最大连接数
max_connections=200
# 服务端使用的字符集默认为 8 比特编码的 latin1 字符集
character-set-server=utf8
# 创建新表时将使用的默认存储引擎
default-storage-engine=INNODB
# 表名是否区分大小写：1=不区分（推荐），0=区分
lower_case_table_names=1
# 单条 SQL 允许的最大包大小（导入大文件时需要调大）
max_allowed_packet=16M
# socket 文件位置
socket=/usr/local/mysql/mysql.sock
# 关闭符号链接（安全）
symbolic-links=0

[client]
port=3306
socket=/usr/local/mysql/mysql.sock

!includedir /etc/my.cnf.d

2.5 初始化数据库

1
2
3
4
5
6
7


cd /usr/local/mysql/bin/
./mysqld \
 --defaults-file=/etc/my.cnf \
 --basedir=/usr/local/mysql/ \
 --datadir=/usr/local/mysql/data/ \
 --user=mysql \
 --initialize

initialize（注意是两个横线）会生成一个临时 root 密码，请从控制台输出中抄下来，类似：
1
A temporary password is generated for root@localhost: w+,S,s+jp6to

如果报 libaio.so.1 缺失：

1
2
3


yum install -y libaio.so.1
# 如果上面解决不了，再装：
yum install -y libaio

2.6 注册系统服务

1
2


cp /usr/local/mysql/support-files/mysql.server /etc/init.d/mysql
chkconfig --add mysql

2.7 启动与重置密码

1
2
3
4
5
6
7


service mysql start

# 软链接 socket（解决 /tmp/mysql.sock 找不到的问题）
ln -s /usr/local/mysql/mysql.sock /tmp/mysql.sock

# 用临时密码登录
./mysql -h 127.0.0.1 -u root -p

登录后第一件事：把密码改成空，然后再设一个新的，避免密码策略拒绝你设的新密码。

1
2
3


use mysql;
update user set authentication_string='' where user='root';
quit;

退出后去掉 /etc/my.cnf 里的 skip-grant-tables（如果加了），重启服务，再空密码登录正式改密：

1

ALTER USER 'root'@'localhost' IDENTIFIED BY '{{REDACTED}}';

2.8 开启远程访问

1
2
3


use mysql;
update user set host='%' where user='root';
flush privileges;

现在 Navicat 就可以连了。

3. Windows MSI Installer 安装

Windows 上推荐用 MSI Installer（mysql-installer-community-8.0.40.0.msi），下载：https://dev.mysql.com/downloads/windows/installer/8.0.html。

3.1 安装类型选择

MSI Installer 提供 5 种安装类型，新手最常选的是：

Server only：只装 MySQL Server（推荐生产用）
Custom：自定义勾选组件
Developer Default：开发环境全套（带 Workbench、Connector/NET、Examples）

坑点：不要选 “Full”——它会带一堆用不到的 Connector、Excel 插件、Visual Studio Integration。

3.2 关键步骤截图导航

以下步骤与 MSI Installer 8.0.40 的引导顺序一一对应：

Choosing a Setup Type → 选 Server only
Check Requirements → 一路 Next，缺啥装啥
Installation → 点 Execute，等待 30s~2min
Product Configuration → 端口、密码类型、root 密码、Windows 服务名
Apply Configuration → 点 Execute，最后 Finish

端口配置：默认 3306，生产库强烈建议改成非常规端口（如 33060、33306），减少被自动扫描爆破的概率。

密码类型：建议选 Strong Password（8 位以上 + 大小写 + 数字 + 符号）。

Windows 服务名：默认是 MySQL80，不要改成 MySQL——避免与系统中可能存在的 MariaDB 冲突。

配置文件位置（关键！很多人找不到）：

1

C:\ProgramData\MySQL\MySQL Server 8.0\my.ini

C:\ProgramData 是隐藏目录，需要在文件资源管理器开启"显示隐藏的项目"。

3.3 用 Navicat 连本机 MySQL

主机：localhost 或 127.0.0.1
端口：3306（或你改的端口）
用户名：root
密码：刚才设置的那个

4. my.cnf / my.ini 关键参数

下面是一份生产环境推荐的精简配置（以 8G 内存 / 4 核服务器为例）：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39


[client]
default-character-set = utf8mb4

[mysql]
default-character-set = utf8mb4

[mysqld]
# 基础
user = mysql
port = 3306
basedir = /usr/local/mysql
datadir = /usr/local/mysql/data
socket = /usr/local/mysql/mysql.sock
pid-file = /usr/local/mysql/mysqld.pid

# 字符集
character-set-server = utf8mb4
collation-server = utf8mb4_unicode_ci

# 引擎
default-storage-engine = InnoDB
lower_case_table_names = 1

# 连接数
max_connections = 500
max_allowed_packet = 64M
wait_timeout = 28800

# InnoDB 缓冲池（核心：物理内存的 50%~80%）
innodb_buffer_pool_size = 4G
innodb_buffer_pool_instances = 4
innodb_log_file_size = 1G
innodb_flush_log_at_trx_commit = 1
innodb_flush_method = O_DIRECT

# 慢查询
slow_query_log = on
long_query_time = 2
log-queries-not-using-indexes = on

进阶建议：生产库不要用默认的 latin1 字符集——中文乱码就是从这里来的。统一 utf8mb4 解决 emoji 表情和部分生僻字。

5. 常见安装问题与排错

5.1 启动报 `Unable to lock ./undo_001`

1
2


mv undo_001 undo_001.bak
cp -a undo_001.bak undo_001

这是 InnoDB undo 表空间被锁/损坏的经典症状，多发于断电/异常关机后。处理思路是替换文件、强制恢复：

1
2


# /etc/my.cnf
innodb_force_recovery=6

6 个等级的 innodb_force_recovery 含义（数字越大越激进）：

值	含义
1 (SRV_FORCE_IGNORE_CORRUPT)	忽略检查到的 corrupt 页
2 (SRV_FORCE_NO_BACKGROUND)	阻止主线程的 full purge 操作
3 (SRV_FORCE_NO_TRX_UNDO)	不执行事务回滚
4 (SRV_FORCE_NO_IBUF_MERGE)	不执行插入缓冲的合并
5 (SRV_FORCE_NO_UNDO_LOG_SCAN)	不查看重做日志
6 (SRV_FORCE_NO_LOG_REDO)	不执行前滚

从 1 开始试，能起来就行。6 是最后一招——6 能起来意味着数据可能丢失，先 mysqldump 出来再重建。

5.2 `ERROR 1130 (HY000): Host 'xxx' is not allowed to connect to this MySQL server`

root 默认只能 localhost 登录，远程连不上。两种修法：

1
2
3
4
5
6
7
8
9


-- 修法 1：把 root 改成允许任意 IP（仅测试用）
CREATE USER IF NOT EXISTS 'root'@'%' IDENTIFIED WITH mysql_native_password BY '{{REDACTED}}';
GRANT ALL PRIVILEGES ON *.* TO 'root'@'%' WITH GRANT OPTION;
FLUSH PRIVILEGES;

-- 修法 2（推荐生产）：创建一个专门的远程账号
CREATE USER 'app_user'@'10.0.0.%' IDENTIFIED WITH mysql_native_password BY '{{REDACTED}}';
GRANT SELECT, INSERT, UPDATE, DELETE ON your_db.* TO 'app_user'@'10.0.0.%';
FLUSH PRIVILEGES;

5.3 忘了 root 密码

按这个 SOP 找回（前提：你能物理访问服务器）：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23


# 1. 在 [mysqld] 段加 skip-grant-tables
vim /etc/my.cnf
# 加入：
# [mysqld]
# skip-grant-tables

# 2. 重启服务
systemctl restart mysqld

# 3. 空密码登录
mysql -uroot

# 4. 清空 root 密码
use mysql;
flush privileges;
update user set authentication_string='' where user='root';

# 5. 退出，注释掉 skip-grant-tables，重启
# 6. 重新登录，设置新密码
mysql -uroot
ALTER USER 'root'@'localhost' IDENTIFIED BY '新密码';
ALTER USER 'root'@'%' IDENTIFIED BY '新密码';
FLUSH PRIVILEGES;

5.4 `mysql_native_password` vs `caching_sha2_password`

MySQL 8.0 默认认证插件是 caching_sha2_password，但很多老客户端（Navicat 11/12、JDBC 5.x）不支持。连接时报：

1

Authentication plugin 'caching_sha2_password' cannot be loaded

修法：把密码插件降级为 mysql_native_password：

1
2
3


ALTER USER 'root'@'localhost' IDENTIFIED WITH mysql_native_password BY '{{REDACTED}}';
ALTER USER 'root'@'%' IDENTIFIED WITH mysql_native_password BY '{{REDACTED}}';
FLUSH PRIVILEGES;

这只是兼容性回退方案。新应用应该用 caching_sha2_password——它支持密码轮换、不在网络中明文传密码。

下一步

SQL 速查 + EXPLAIN 解读：见《MySQL 实战速查：EXPLAIN 全字段解读 + 经典 SQL 题解》
索引调优案例：见《MySQL 索引优化实战：700 万行表从 3 秒到 50 毫秒》
慢查询与性能调优：见《MySQL 慢查询与性能调优：sysbench + buffer pool》
备份恢复：见《MySQL 备份恢复实战：mysqldump + ibd2sql + binlog2sql》

2024+ 视角：MySQL 8.4 LTS 与 9.x 时代

MySQL 版本节奏的"3+1"变化

从 2023 年起 Oracle 把 MySQL 改为 LTS + Innovation 双轨：

轨道	节奏	适用
LTS（Long Term Support）	8.0 → 8.4 → 9.7（每 2 年）	生产首选
Innovation	8.1 / 8.2 / 8.3 / 8.4 / 9.0…	新特性尝鲜，不推荐生产

生产推荐 8.4 LTS（2024-04 GA）—— 至少支持到 2032 年。

MySQL 8.4 LTS 关键变化

默认认证插件仍是 caching_sha2_password——但配套的 mysql_native_password 已完全标记 deprecated
information_schema 性能：元数据查询加速 30%
JSON 函数增强：JSON_TABLE()、JSON_VALUE() 标准化
复制改进：基于 WRITESET 的并行回放，多线程复制更稳
资源组（Resource Group） 完善：可按线程绑定 CPU 核

MySQL 9.0（2024-07 GA）核心新特性

JavaScript 存储程序：支持在存储过程里写 JS（基于 V8 引擎的 mle 组件）
向量数据类型 内部预览——VECTOR(N) + 距离函数，对标 pgvector
Performance Schema 优化：默认启用更多事件监控
隐式 cast 收紧：字符串 ↔ 数字转换告警更严格——历史项目升级可能踩坑

1
2
3
4
5
6
7
8
9


-- MySQL 9.0 向量（实验）
CREATE TABLE docs (
 id BIGINT PRIMARY KEY,
 content TEXT,
 embedding VECTOR(1536)
);
SELECT id FROM docs
ORDER BY VECTOR_DISTANCE(embedding, VECTOR('[0.1, 0.2, ...]'))
LIMIT 5;

2024+ 安装新选项

MySQL Shell (mysqlsh) 取代 mysql 客户端成为官方推荐
- 支持多语言（Python / JS / SQL）
- 内置 util.loadDump() / util.dumpInstance() 处理大库备份
MySQL Operator for Kubernetes GA——K8s 上生产级 MySQL 部署
MySQL InnoDB ClusterSet——多数据中心灾备"开箱可用"

2024+ 配置基线

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17


# /etc/my.cnf（2024+ 推荐）
[mysqld]
# 字符集
character-set-server = utf8mb4
collation-server = utf8mb4_0900_ai_ci # 8.0+ 默认

# InnoDB（核心）
innodb_buffer_pool_size = 物理内存 * 0.6
innodb_buffer_pool_instances = 8 # 8.0 起允许更多
innodb_redo_log_capacity = 8G # 8.0.30+ 新参数（替代 innodb_log_file_size）

# 复制
binlog_transaction_dependency_tracking = WRITESET
binlog_transaction_dependency_history_size = 10000

# 安全
default_authentication_plugin = caching_sha2_password

2024+ 的"坑"演进

caching_sha2_password 不再是坑：8.4 起所有官方驱动、ORM（Hibernate 6+ / MyBatis 3.5+）原生支持，老客户端升级即可
8.0 → 8.4 升级：字典结构变了，必须 mysql_upgrade + 两次重启
8.4 → 9.0 升级：引入 JavaScript 存储程序的库需重新编译；隐式 cast 收紧可能让旧 SQL 抛 warning

2024+ 选型决策

1
2
3
4
5
6
7
8
9


新项目选 MySQL 什么版本？
├── 保守（金融、政府） → 8.4 LTS（至少 2032 支持）
├── 互联网（云原生） → 8.4 LTS + MySQL Operator
├── 想用向量 / JS 存储程序 → 9.0（实验心态）
└── 已有 5.7 / 8.0 项目 → 升 8.4 LTS（路径清晰）

数据库国产化替代？
├── MySQL 业务系统 → TiDB / OceanBase / KES (DB_MODE=mysql)
└── 重点考虑兼容度 + 性能 → TiDB 8.x 兼容度最高（95%+）

CentOS 7 早期实践：最小化安装、yum 源、selinux 与密码救援

Sat, 15 Dec 2012 00:00:00 +0800

一、为什么 2012 年要聊 CentOS 7

严格说 CentOS 7.0 正式发布是 2014-07-07，本文写于 2012-12-15，内容是基于 7.x 早期内测 / RHEL 7.0 GA（2014-06-10）的实操整理。之所以放这个时间点，是因为当时国内大量运维在测试机器上尝鲜 CentOS 7 的 init 切换（systemd 取代 init）、/etc/os-release 标准化等变化，到了 2014-07 正式发版后这些经验完全适用。

CentOS 7 的"最小化安装"（Minimal Install）只给 ~200 个包，没有桌面、没有图形、连 wget / net-tools 都没有。第一次登录后第一件事往往是装上常用工具、配置国内 yum 源、关掉不需要的服务。本篇把这些零散动作整理成一份"上桌清单"。

适用版本：CentOS 7.0 ~ 7.9（2020-11 EOL，2024-06-30 进入 ELS 阶段仅安全更新）

二、查 IP、装 wget

最小化安装的机器没有 ifconfig（net-tools 没了），先用 ip 命令看 IP：

1

ip addr

装 wget 准备下载源：

1

yum install -y wget

三、配置国内 yum 源

最小化装的机器 yum 走的是 CentOS 官方源，国内外都慢。换国内源是标准动作。

3.1 阿里云

1
2
3
4
5


# 备份
mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.bak
# 阿里云
curl -o /etc/yum.repos.d/CentOS-Base.repo https://mirrors.aliyun.com/repo/Centos-7.repo
yum clean all && yum makecache

3.2 网易 163

1
2
3


rm -rf /etc/yum.repos.d/*
wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.163.com/.help/CentOS7-Base-163.repo
yum clean all && yum makecache

3.3 EPEL 源

EPEL（Extra Packages for Enterprise Linux）是 CentOS 之外的常用源，装 python-pip 之类要靠它：

1
2
3


yum list | grep epel-release
yum install -y epel-release
yum clean all && yum makecache

验证仓库：

1
2


yum repolist enabled # 启用的仓库
yum repolist all # 所有仓库

四、装常用工具

最小化安装默认没装的几个常用工具：

1
2
3
4


yum install -y vim-enhanced # vim
yum install -y net-tools # ifconfig / netstat
yum install -y lsof # lsof，排查 deleted 但未释放的文件
yum install -y p7zip p7zip-plugins # 7z 解压

五、关掉 firewalld / selinux / swap

容器化之前，传统 LAMP / LNMP 服务器的标准动作是关掉防火墙和 swap。注意：如果你准备上 Kubernetes，swap 千万不能关——kubelet 从 1.8 起会拒绝在启用 swap 的机器上启动（除非显式配置 --fail-swap-on=false）。

5.1 firewalld

1
2
3


firewall-cmd --state
systemctl stop firewalld.service
systemctl disable firewalld.service

5.2 selinux

1
2
3
4
5
6


# 查当前状态
getenforce
# 临时关闭（重启失效）
setenforce 0
# 永久关闭
sed -ri 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config

5.3 swap

1
2
3
4
5
6


# 临时关
swapoff -a
# 永久关（注释 /etc/fstab 里所有含 swap 的行）
sed -ri 's/.*swap.*/#&/' /etc/fstab
# 想再开回来
swapon -a

六、CentOS 7 忘记 root 密码的救援流程

这是 2012-2015 那几年最高频的运维求助场景。CentOS 7.9（2020-09 发布）的单用户模式救援流程：

重启服务器，开机引导时按 e 进入编辑
找到 linux16（早期版本是 linux）开头的那一行，把 ro 改成 rw init=/sysroot/bin/sh
按 Ctrl + x，用单用户模式启动
切到原系统：
1

chroot /sysroot
改密码：
1

passwd root
更新 SELinux 标签（重要，不执行可能登录失败）：
1

touch /.autorelabel
退出：
1 2

exit reboot

坑提醒：第 6 步的 /.autorelabel 在 SELinux 开启的环境下必须执行；如果当时 setenforce 0 临时关过 SELinux，可以跳过这一步。

七、装 Docker 的早期姿势（2015-2016 年）

CentOS 7 早期装 Docker 还分两条路线：

7.1 走 get.docker.com 一键脚本

1
2
3
4


curl -sSL https://get.docker.com/ | sh
docker version
systemctl start docker
systemctl enable docker

这个脚本在 2015-2017 年是事实标准，但后来被官方移除了 docker-compose 集成。

7.2 走 yum 官方源

1
2
3
4
5
6


sudo yum install -y yum-utils device-mapper-persistent-data lvm2
sudo yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
sudo yum install docker-ce
sudo systemctl start docker
sudo systemctl enable docker
sudo usermod -aG docker <your-user> # 免 sudo 用 docker

想指定老版本（如 docker-ce-18.09.1）：

1
2


yum list docker-ce --showduplicates | sort -r
sudo yum install docker-ce-18.09.1

八、Python 2 与 Python 3 共存

CentOS 7 默认 python 指向 python2.7，而 yum / firewalld 等系统工具强依赖 Python 2.7，绝对不能卸载。开发用 Python 3 的标准做法是源码编译一份 /usr/local/python3，软链接 python3 出去。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15


yum groupinstall "Development Tools" -y
yum install -y openssl-devel bzip2-devel libffi-devel zlib-devel \
 ncurses-devel sqlite-devel readline-devel tk-devel \
 gdbm-devel db4-devel libpcap-devel xz-devel

wget https://www.python.org/ftp/python/3.9.10/Python-3.9.10.tgz
tar -zxvf Python-3.9.10.tgz
cd Python-3.9.10
./configure --enable-optimizations --prefix=/usr/local/python3
make altinstall

ln -s /usr/local/python3/bin/python3 /usr/bin/python3
ln -s /usr/local/python3/bin/pip3 /usr/bin/pip3

python3 -V

make altinstall 而不是 make install 是为了不覆盖系统 python 软链接——这点在 CentOS 7 上尤其重要。

九、SSH 允许 root 登录

1
2
3
4
5


sudo vi /etc/ssh/sshd_config
# PermitRootLogin yes
# PasswordAuthentication yes

sudo service sshd reload

生产环境强烈不推荐开启 root 远程登录，应该走 ssh-keygen + ~/.ssh/authorized_keys。

十、自动时间同步

1
2
3
4
5
6
7


yum -y install ntpdate
ntpdate -u pool.ntp.org

# 加 crontab
crontab -e
*/20 * * * * /usr/sbin/ntpdate pool.ntp.org > /dev/null 2>&1
service crond reload

chrony 是 CentOS 7 默认装的，但 ntpdate 在内网环境更省事。

十一、下一步

想换更新的发行版（CentOS 7 已经在 2024-06-30 进入 ELS 阶段）→ 迁移到 Rocky Linux 9 或 AlmaLinux 9（API 兼容，迁移成本最低）
想做远程批量装机 → 看 PXE + kickstart，本篇不展开
想用 ELRepo 升级内核 → 见 2015-03-15 CentOS 7 内核升级实战
想把单用户救援流程做成一键脚本 → 用 Rescue Mode Automation 的 grub2-setpassword + 自定义脚本

参考资料

2024 视角：CentOS 7 已 EOL，Rocky / Alma 9 才是"未来"

本文写于 2012-12-15（实际是基于 2014-07 CentOS 7 GA 前的"早期内测"经验）。2024 视角下：

一、CentOS 7 正式 EOL 2024-06-30

2020-08-06：CentOS 8 提前 EOL 公告，CentOS 7 延寿到 2024-06-30。
2024-06-30：CentOS 7 正式 EOL。
2024-06-30 后：进入 **ELS（Extended Lifecycle Support）**阶段，仅付费 Red Hat 客户能拿到安全更新。
2024-12-31：CentOS 7 ELS 阶段结束（部分渠道可付费延长到 2026-06-30）。
2024 视角下：新项目绝对不要再装 CentOS 7。

二、CentOS 7 → Rocky / Alma 9 迁移工具

migrate2rocky（Rocky Linux 官方）：

1
2
3
4


# CentOS 7/8 → Rocky Linux 9
curl -O https://raw.githubusercontent.com/rocky-linux/rocky-tools/main/migrate2rocky/migrate2rocky.sh
chmod +x migrate2rocky.sh
sudo bash migrate2rocky.sh -r

almalinux-deploy（AlmaLinux 官方）：

1
2


sudo dnf install -y almalinux-deploy
sudo almalinux-deploy

elevate（CIQ 维护，CentOS 7 → Rocky Linux 8/9）：

1
2
3


dnf install -y http://repo.almalinux.org/elevate/elevate-release-latest-el$(rpm --eval %rhel).noarch.rpm
dnf install -y leapp-upgrade leapp-data-almalinux
leapp upgrade

三、CentOS 7 已消失的服务

ntpdate / ntpd：被 chronyd 取代（CentOS 7 起就是）。
iptables（部分）：被 nftables 取代（CentOS 8 起）。
system-config-network-tui：被 nmtui 取代。
setuptool：被 system-config-* 取代。
Python 2.7：2020-01-01 EOL，不能装（除非装到 docker 容器）。
MySQL 5.x / MariaDB 5.5：EOL 多年，不能装（用 MySQL 8 / MariaDB 10.11）。

四、CentOS 7 时代的"救援模式"在 9 已不适用

本文给的"按 e → 改 ro 为 rw init=/sysroot/bin/sh“流程：

CentOS 9 / RHEL 9：grub2 启动菜单有所变化（按 e 后多一步 BLSC 验证）。
UEFI Secure Boot 默认开启：单用户模式可能进不去。
2024 救援姿势：
- 方法 1：从 rescue CD / USB 启动（最稳）
- 方法 2：在云控制台用 VNC 救援连接（阿里云 / 华为云 / AWS 都支持）
- 方法 3：临时关掉 SELinux：setenforce 0（如果能进系统）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# CentOS 9 / RHEL 9 救援模式步骤
# 1. 引导菜单按 e 进入编辑
# 2. 找到 linux 开头那行，删掉 rhgb quiet
# 3. 末尾加 rd.break
# 4. Ctrl+X 启动
mount -o remount,rw /sysroot
chroot /sysroot
passwd root
touch /.autorelabel
exit
reboot

五、CentOS 7 → 9 的"主要 API 变化”

Python 3.6 → 3.12（CentOS 9 默认）。
systemd 219 → 252+（大量新指令）。
OpenSSH 7.4 → 8.x → 9.x（强制 rsa-sha2-256/512，禁 DSA）。
OpenSSL 1.0.2 → 3.0+（默认安全级别提高）。
GCC 4.8 → 11+（C++17 / C++20 默认）。
glibc 2.17 → 2.34（老二进制不能直接跑）。
firewalld 0.x → 1.x（配置变化）。

六、CentOS 7 的"运维遗物"——`/etc/rc.local`

2012 那篇提到 CentOS 7 早期还支持 rc.local。CentOS 9 已经移除：

替代方案：systemd service：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


# /etc/systemd/system/my-startup.service
[Unit]
Description=My Startup Script
After=network.target

[Service]
Type=oneshot
ExecStart=/usr/local/bin/my-startup.sh
RemainAfterExit=yes

[Install]
WantedBy=multi-user.target

1

systemctl enable my-startup.service

七、CentOS 7 的 EPEL 源 2024 现状

EPEL 7 仓库：2024-06-30 停止更新。
EPEL 9 仓库：仍在持续更新。
迁 EPEL 配置（迁到 Rocky / Alma 9 后自动适配）。
国内镜像（aliyun / 清华）2024 仍在同步 EPEL 7（用于"历史项目"），但新装不要用。

八、2024 仍"在跑" CentOS 7 的真实情况

中国中小企业的"老服务器"：2024 还有 30-40% 跑 CentOS 7。
原因：迁移成本 + 老应用兼容性 + 团队不熟悉 systemd 241+。
风险：
- 无安全更新（2024-07 之后）
- 新软件不能装（新版本需要 GLIBC 2.28+）
- 容器运行时受限（Docker 20.10+ 不支持 CentOS 7）
建议：用 migrate2rocky 迁移到 Rocky Linux 9——10 分钟搞定。

九、CentOS Stream：争议中的"未来"

CentOS Stream 8/9（2021+）：RHEL 的"上游开发版"——比 RHEL 早 1-2 个 minor 版本。
优点：永远"新"，能用到 RHEL 还没 GA 的特性。
缺点：可能不稳定（生产环境慎用）。
2024 主流：不用 CentOS Stream，直接用 Rocky / Alma / Oracle。

CentOS 6.5 时代：内核升级与 ELRepo 实战

Tue, 15 Jun 2010 00:00:00 +0800

一、为什么 2010 年还要升级 CentOS 6.5 的内核

CentOS 6.5（2013-12-01 发布，是 CentOS 6 系列的最后一个主要版本）跑的是 2.6.32-431.el6.x86_64——一个 RHEL/CentOS 维护了 10 年的"长青"内核，对应 RHEL 的"zk 内核"分支。这套内核的好处是极其稳定，几乎所有服务器场景都能跑；坏处是新硬件支持差——比如后期出来的 Intel e1000e 网卡的某些固件 bug、SSD 控制器新特性、新 CPU 微码补丁等，都得靠第三方仓库才能拿到。

2010 年代初的运维圈子里，给生产服务器升级内核的标准动作就是：接 ELRepo。ELRepo（elrepo.org）是 RHEL/CentOS 生态最知名的第三方内核仓库，提供两套主线：

包名	来源	特点
`kernel-lt`	Linux stable	长期维护版（Long Term），稳定性优先
`kernel-ml`	Linux mainline	主线最新版，新特性优先

当时给生产服务器升级的常见选择是 kernel-lt——本文以 6.x 时代最常见的 kernel-lt-3.10.x 路线为例。

本文写于 2010 年，主要面向 CentOS 6.x 时代服务器。CentOS 6 已经在 2020-11-30 EOL，CentOS 7 已经在 2024-06-30 EOL，新机器建议直接上 Rocky / Alma / Ubuntu LTS。本篇留作"那个时代"的运维档案。

二、查清当前系统与内核版本

升级前先确认两件事：发行版版本、内核版本。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 发行版版本
[root@centos6 ~]# lsb_release -a
LSB Version: :base-4.0-amd64:base-4.0-noarch:core-4.0-amd64:...
Distributor ID: CentOS
Description: CentOS release 6.5 (Final)
Release: 6.5
Codename: Final

# 内核版本
[root@centos6 ~]# uname -r
2.6.32-431.el6.x86_64

lsb_release 在最小化安装的机器上默认没装，可以改用 cat /etc/redhat-release 兜底：

1
2


cat /etc/redhat-release
# CentOS release 6.5 (Final)

三、解决 yum 下载 ELRepo 公钥时的 SSL 错误

直接 rpm --import ELRepo 的 GPG 公钥，6.x 时代很容易遇到：

1
2
3


[root@centos6 ~]# rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org
curl: (35) SSL connect error
error: https://www.elrepo.org/RPM-GPG-KEY-elrepo.org: import read failed(2).

这是因为系统自带的 nss（Network Security Services）太老，跟不上 TLS 协议。解决方法就一条：先升级 nss：

1

yum update nss

之后再 rpm --import 就正常了。

四、安装 ELRepo 仓库

ELRepo 提供按大版本分发的 release RPM，直接装就能拿到 repo 文件：

1

rpm -Uvh http://www.elrepo.org/elrepo-release-6-8.el6.elrepo.noarch.rpm

这一步会生成 /etc/yum.repos.d/elrepo.repo，里面有两个仓库：

elrepo（主仓库，ELRepo 自有驱动）
elrepo-kernel（内核专用）
elrepo-extras

五、安装 kernel-lt 内核

只启用 elrepo-kernel 仓库，避免其他包被意外升级：

1

yum --enablerepo=elrepo-kernel install kernel-lt -y

安装完成后，新内核会出现在 /boot/ 下，同时 grub 也会自动加入对应的启动项。但grub 默认从序号 0 开始启动，新内核一般被装在最后，所以下一步要改默认启动顺序。

六、修改 grub 引导顺序

CentOS 6 时代的 grub 还是 legacy grub 1，配置文件是 /etc/grub.conf（实际软链接到 /boot/grub/grub.conf）：

1

vi /etc/grub.conf

把 default=N 改成新内核对应的序号（一般是 0）。文件里长这样：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


default=0 # ← 改这个
timeout=5
splashimage=(hd0,0)/grub/splash.xpm.gz
hiddenmenu
title CentOS (3.10.0-1.el6.elrepo.x86_64)
 root (hd0,0)
 kernel /vmlinuz-3.10.0-1.el6.elrepo.x86_64 ro root=/dev/mapper/...
 initrd /initramfs-3.10.0-1.el6.elrepo.x86_64.img
title CentOS (2.6.32-431.el6.x86_64)
 root (hd0,0)
 kernel /vmlinuz-2.6.32-431.el6.x86_64 ro root=/dev/mapper/...
 initrd /initramfs-2.6.32-431.el6.x86_64.img

新内核放在 title 列表的最上面时，default=0 就指向它；放后面就改对应的序号。

坑提醒：改完一定要重启验证，别留在原内核就以为升级成功了。

七、重启验证

1

reboot

重启后再次 uname -r：

1
2


uname -r
# 3.10.0-1.el6.elrepo.x86_64

确认已经是新内核，老的内核包先别删——留一两周观察稳定再清理。

八、常见坑速查

现象	原因	处理
`rpm --import` 报 SSL error	nss 库太老	`yum update nss`
安装后还是老内核启动	grub `default` 没改	编辑 `/etc/grub.conf`
启动到一半 `dracut` panic	initramfs 没生成或磁盘驱动没编进	用 `dracut --force` 重生成 initramfs
第三方软件（如 VMware Tools）装不上	内核头文件路径变了	装对应 `kernel-lt-devel`

九、下一步

想再激进一点（拿 Btrfs/OverlayFS 等新特性）→ 改用 kernel-ml，但绝不要在生产环境直接上——6.x 时代的 ml 包出过几次 initramfs 兼容事故
想再稳一点（保留老内核回退）→ 升级前用 df/mount 拍个快照，VPS 用户用服务商控制台做 system snapshot
配套的 kernel-lt-devel、kernel-lt-headers 也要一并装，否则后面编译 DKMS 模块（如 VirtualBox Guest Additions）会失败
真要彻底升级大版本（6.x → 7.x）→ 走 redhat-upgrade-tool（已废弃）或重新装机，跨大版本升级从来都只适合有完整快照的测试机

参考资料

ELRepo 官网
CentOS 6 EOL 公告
RHEL 6.5 Release Notes（kernel 章节）

2024 视角：CentOS 6 时代已彻底过去，迁移方案汇总

本文写于 2010-06-15（实际是后人补档的"老运维回忆"），距今已 14 年。2024 视角下：

一、CentOS 6 已经是"老古董"

2020-11-30：CentOS 6 EOL（End of Life）。
2020-12 至 2024-06：CentOS Linux 6 走"extended EOL"（付费支持）。
2024-06-30：CentOS Linux 6 全面停止维护。
2024 视角：仍然跑 CentOS 6 的服务器已经无安全更新——强烈建议迁出。

二、CentOS 6 迁到哪里

目标	兼容性	迁移成本	适用
CentOS 7	90%	低	不推荐（7 已 2024-06 EOL）
CentOS 8	95%	低	不推荐（8 已 2021-12 EOL）
CentOS Stream 8/9	100%	低	滚动版，生产慎用
Rocky Linux 9	100%	低	首选（社区驱动，CIQ 维护）
AlmaLinux 9	100%	低	首选（CloudLinux 维护）
Oracle Linux 9	100%	低	大企业 / 商业支持
Ubuntu 22.04 LTS	80%	中	桌面 / 开发机
Debian 12	80%	中	服务器 / 容器

三、`migrate2rocky` 脚本一键迁移

1
2
3
4
5
6


# CentOS 6/7/8 → Rocky Linux 9
curl -O https://raw.githubusercontent.com/rocky-linux/rocky-tools/main/migrate2rocky/migrate2rocky.sh
chmod +x migrate2rocky.sh
sudo bash migrate2rocky.sh -r
# 重启
sudo reboot

注意：必须先做完整备份（快照 / tar 全量），迁移过程会替换核心包。
不兼容情况：自定义编译的内核模块（如 NVIDIA 驱动、VirtualBox）需要重新编译。

四、CentOS 6 时代的"运维遗物"清单

2010 年代 CentOS 6 跑的常见服务，2024 都有现代替代：

老服务	2024 替代
MySQL 5.1	MySQL 8.0 / MariaDB 10.11
Apache 2.2	Apache 2.4 / Nginx 1.27
PHP 5.3	PHP 8.3
iptables	nftables（CentOS 7 后）
OpenSSH 5.3	OpenSSH 9.x（强制 ed25519 / rsa-sha2-256）
`ntpd`	`chronyd`（CentOS 7+）
`ifconfig`	`ip`（iproute2）
`netstat`	`ss`（iproute2）
`service`	`systemctl`
`chkconfig`	`systemctl enable/disable`
`ifupdown`	NetworkManager / `nmcli`
`route`	`ip route`
`arp`	`ip neigh`
`traceroute`	`mtr`（更现代）
`wget`	`curl`（更通用）

五、CentOS 6 → 9 的"陷阱"清单

systemd 全面接管：init.d 脚本不再被自动识别——必须写 *.service。
firewalld 取代 iptables：老 iptables -A INPUT ... 命令仍兼容（底层是 nftables），但推荐用 firewall-cmd。
SELinux 强制开启：从 CentOS 7 起默认开启，老脚本不写 SELinux context 会失败。
Python 2.7 EOL（2020-01-01）：所有 #!/usr/bin/python 必须改成 python3。
OpenSSL 1.1+ / TLS 1.3 强制：老证书可能不再受信任。
GLIBC 2.28+（CentOS 9）：老二进制（如 tcpcopy 1.2.0 预编译版）会报"GLIBC_2.34 not found"。

六、CentOS 6 的"真实价值"：归档

2024 视角下，CentOS 6 的真正价值是"运维历史档案"——很多老脚本、老软件、老硬件驱动都跑在上面。

vmware-tools：CentOS 6 用老版 VMware Tools（kernel 2.6.32 兼容），CentOS 9 改用 open-vm-tools。
Realtek 网卡驱动：CentOS 6 时代手动编译 r8168，CentOS 9 内核已自带。
NFS v3：CentOS 6 默认 NFSv3，CentOS 9 默认 NFSv4.2。
32 位库：CentOS 6 装 glibc.i686 跑 32 位应用，CentOS 9 已经不默认装 i686 仓库。

七、2024 仍在跑 CentOS 6 的"现实方案"

方案 A（推荐）：迁移到 Rocky / Alma 9
方案 B：用 Vault 仓库 + --enablerepo 让 yum 继续用（但无安全更新）
方案 C：用 docker 容器包老 OS：

1
2
3
4
5


# 用 Docker 跑 CentOS 6 容器（保留老应用）
docker run -it --rm centos:6 bash
# 内部操作
yum update
# 应用跑在容器里

方案 D：上 K8s + 老 OS Pod（生产慎用）